Android软件供应链中包括Android应用的编写、分发、更新等多个环节,其中部分流程和使用工具的防御机制相对薄弱,容易被攻击者作为突破点,达到直接或间接向Android应用中植入恶意代码的目的。近年来,针对Android软件供应链的攻击事件频繁发生,将恶意代码隐藏在Android第三方类库是这些事件中较为常见的攻击方式。Android应用一般会调用多个第三方类库完成某些特定功能,而第三方类库的来源渠道较为广泛,且常常缺乏诸如代码审计等安全性检查。因此一旦正常第三方类库在软件供应链某环节中被植入恶意代码,或本身恶意的第三方类库进入软件供应链,这两类第三方类库都将在供应链下游广泛传播,最终被编译进合法的Android应用中。而目前各个应用市场的安全机制检测原理不同,大多难以检测应用动态加载的代码模块,且对部分合法应用存在白名单信任机制,因此隐藏在第三方类库中的恶意代码往往能够绕过应用市场的安全检测,成功进入Android设备并运行。在上述背景下,本文主要关注第三方类库在Android软件供应链中面临的安全风险和攻击检测问题。本文首先探讨了Android第三方类库可能受到的软件供应链攻击方式,总结了攻击形成的代码特征。随后给出了两种针对APK编译过程的第三方类库软件供应链污染攻击方式,并进一步提出了一种针对Android第三方类库的软件供应链潜在污染点分析与评估方案。接着从软件供应链下游的第三方检测的角度,基于前期总结出的代码攻击特征,提出了一种针对第三方类库代码的软件供应链污染攻击检测方案,用于检测恶意代码植入第三方类库造成的软件供应链污染。最终通过实验,分别证实了本文提出的潜在污染点分析与评估方案和软件供应链污染攻击检测方案的有效性。