我很伤心地听到来自Vaadin有人已经重定向的安全问题，以堆栈溢出而不是转发的讨论，我们的安全团队。同时，我意识到并非 Vaadin 的每个人都是具有深刻安全洞察力的软件工程师，并且可能会发生错误。

我们的总体理解是，针对此版本的 Highcharts报告的问题仅适用于图表数据或配置基于来自不受信任用户的输入的情况，这通常不适用于使用 Vaadin 构建的应用程序类型。

在我们得出任何明确的结论之前，我们仍然需要一些时间来仔细检查细节。不幸的是，由于向后兼容性问题，按照 Highcharts 的建议更新到更新版本是不切实际的。在 Vaadin Charts 中引入额外的检查来降低这些风险可能是可行的，否则我们将不得不为应用程序代码提出具体的建议。

我们还在讨论 Vaadin 是否应该更积极地处理传递依赖项中的安全问题，但这是一个复杂的问题，需要在许多不同因素之间进行平衡。

亲切的问候，
Vaadin 的
Leif Åstrand
首席技术官