SSRF используется злоумышленником, контролирующим исходящий запрос, который делает сервер.Если uri действительно жестко запрограммирован, то у злоумышленника нет возможности влиять на то, куда направляется запрос, так что это действительно будет ложным срабатыванием.Однако, хотя Fortify известен своими ложными срабатываниями, я не видел, чтобы он совершал такого рода ошибки (то есть заявлял SSRF, несмотря на жестко закодированный URI), поэтому я немного удивлен, услышав это.Вы проверили всю трассировку от источника до приемника, которую предоставляет Fortify?Если он сообщает только об одной строке в качестве источника и приемника, то да, это ложный положительный результат.Если есть больше, было бы полезно, если бы вы предоставили полный след.