该论文针对C/C++软件供应链中的漏洞分析问题提出了一种社区级别的软件组成分析方法（SCA）VulSCA。现有SCA工具（如OSSFuzzer、OSSGadget、OSV-Scanner）在识别第三方库漏洞时存在高误报率和难以理解的问题，主要原因包括漏洞库不完整、版本匹配不精确以及缺乏上下文信息。VulSCA利用社区信息（如GitHub issues、commit logs、安全公告）构建增强的漏洞数据库，并结合代码相似性与补丁分析技术，精确识别受影响函数，从而减少误报。实验结果表明，在多个真实C/C++项目数据集上，VulSCA在召回率和精确率方面均优于现有工具，误报率显著降低。论文还展示了VulSCA能够发现之前未知的漏洞变种，并提供了详细的漏洞影响分析。该方法对于提升C/C++软件供应链安全性具有重要参考价值。