安天移动安全风险应用检测预警平台统计发现，目前，我国80%以上App集成了第三方SDK，平均每个App集成数量近20款。中国信息通信研究院与腾讯公司联合发布的《软件开发包（SDK）安全研究报告（2021年）》中提到，被100款以上App所集成的第三方SDK已超3万款。 何

为SDK？《TC260-PG-20205A移动互联网应用程序（App）中的第三方软件开发工具包（SDK）安全指引（征求意见稿）》中将其定义为，辅助开发某一类软件的相关文档、范例和工具的集合；第三方SDK则指由第三方服务商或开发者提供工具包。“就像一家工厂在制造电视或汽车时，为实现更好的性能，从外界购买一些具有特定功能的零件组装在产品里。”一家资讯类平台的工程师田强这样打比方。 

安天移动安全近日发布的《移动互联网应用供应链（SDK）行为安全性现状研究报告》中提到，SDK恶意行为包括流量劫持、隐私窃取、静默下载安装、恶意广告、远程控制等；SDK风险行为包括违规收集个人信息、云端控制SDK、欺骗误导用户下载App、伪装或匿名推送消息等。 

第三方SDK嵌入App时，也嵌入了风险元素。对此，从事出行类平台研发工作的客户端工程师陆阳认为，一线工程师不能只关注软件开发业务，应该对所使用的SDK基本信息有清晰、必要的认识，并与安全团队配合，选出既符合业务诉求又能够保证安全性的SDK。