Fortify часто показывает ложные срабатывания (я думаю, чтобы не забыть ничего). Например, если есть некоторый код javascript, такой как ключ = «что-то», то подкрепите утверждения об этом сообщением, например, «жестко закодированный ключ шифрования». У меня это было несколько раз в пакетах, где сторонние компоненты, такие как Kendo UI, делают подобные вещи. В Fortify вы можете пометить их в статусе разработчика как «сторонний компонент» и позволить им исчезать как скрытые проблемы. Fortify помнит, что для следующей проверки кода, так что вы просто должны сделать это один раз.
document.write('base href="'=+ document.location+'"/>');
Я думаю, что это не ложный положительный результат. Я бы порекомендовал заменить это на
<base href=".">
. В случае, если вы используете это для покрытия различных развертываний, вам лучше использовать опцию --baseHref для команды build.