У нас есть метод Java, который обращается к потоку, упаковывает его и возвращает вызывающему. (У нас похожая ситуация с подключением к базе данных.) Fortify (анализатор кода stati c) сообщает об этом как об уязвимости «неизданного ресурса», потому что мы не закрываем поток. В нашем случае вызывающий должен освободить ресурс.
Есть ли способ написать или аннотировать это так, чтобы Fortify не помечал этот метод как уязвимый, а скорее помечал вызывающего метод (если он не выпускает его)?