Java IBM AppScan需要验证的问题

IBM AppScan在扫描我的应用程序以获取以下代码时引发了所需的错误验证：-

return Arrays.asList(System.getenv("PATH").split(":"));

我不知道为什么会抛出错误。可能是假阳性吗？我能用吗

System.getProperty("java.class.path")

---

AppScan正在报告验证问题，因为您正在从应用程序外部的源获取变量值。根据IBM AppScan规则，应该验证应用程序外部的所有字符串值。如果您确定没有人会更改路径值，您可以说这是一个假阳性。

拆分函数：取决于必须在函数中传递的数据。如果在传递函数之前验证了数据，则可以将此问题标记为假阳性。

---

通常我们将分割函数标记为假阳性

谢谢。但是如何验证PATH变量的值呢？JAVA教程指出“当系统属性中存在相同的值时，永远不要引用环境变量”。那么，哪个属性将返回与getenv（“PATH”）相同的值？请检查漏洞建议，在AppScan Source中，您应该看到工具将接受什么，或者只是将其标记为假阳性。这并不能回答问题。一旦你有足够的钱，你将能够；相反我知道所有堆栈溢出策略。我仍然理解你的观点，但是如果我知道我可以发布的答案，如果你认为这不是正确的答案，请更新正确的答案。