Fortify (используется по меньшей мере) распознал кодировщики ESAPI как устраняющие "паразитные" флаги заражения, но я думаю, что это было только в контексте правил XSS Fortify. Я не думаю, что они сделали это в контексте Forging Logging, хотя я почти уверен, что они признают, что регистрация ESAPI обеспечивает «безопасную регистрацию».
Если я понимаю ваше желание здесь, вы не просто хотите пометить этот конкретный экземпляр как «Не проблема» и подавить его, но вместо этого вы хотите, чтобы он сначала не распознал этот шаблон как экземпляры Log Forging. , К сожалению, вы не можете изменить правила HP (теперь Microfocus) Fortify. (Их пакеты правил даже зашифрованы, поэтому, за исключением запуска AWB под отладчиком, вы даже не можете просматривать их правила.) Если вы решите, что «переменные среды» являются «доверенными», я полагаю, вы могли бы установить и применить AWB набор фильтров, который будет игнорировать случаи, когда единственным признаком заражения на приемнике является «переменная окружения». (Или примените его только к этой категории ковки журналов.)
Но в целом вам придется либо жить с шумом (Fortify генерирует много ложных срабатываний), либо вам придется вручную проверять каждый из случаев и подавлять ложные срабатывания как «Не проблема». ». Это обычный способ работы, хотя иногда эта функция ограничена специалистами AppSec.
Надеюсь, это поможет.