OpenJDKバグシステム
jdk7u-devメーリングリストのこの投稿によると、OpenJDKバグシステム 答えのサブセットを提供する場合があります。
メーリングリストの投稿によると、CPUクリティカルリクエストラベルのバグは次のCPUに含めることが検討されており、CPUクリティカル承認ラベルのバグは次のCPUに含めることが承認されています。ただし、実際には、より具体的なラベルを使用しているようです。 2014年1月に予定されている7u51アップデートの場合、ラベルはCPU14_01-critical-requestおよびCPU14_01-critical-承認済みのようです。
ラベルのフルセットを参照して、後続のCPUのラベルについて独自の知識に基づいた推測を行うことができます。 「修正バージョン」が7u51のバグも確認できます。
Javaプラットフォームグループ、製品管理ブログ
Javaプラットフォームグループ、製品管理ブログ 部分的な情報のための別の道のように見えます。 「更新されたセキュリティベースライン(7u45)はJava 7u40以前に影響を与え、高セキュリティ設定を使用する」エントリへのこのコメントで、OracleのErikCostlowは次のように述べています。
このブログを作成した理由の1つは、さまざまなOpenJDKメーリングリストですでに行われているよりも多くの情報を提供できることです。
事前の通知ができない変更がいくつかありますが、それを最小限に抑えることを望んでいます。その他の変更については、ここに投稿するだけでなく、実際に他のプロジェクトに参加して、伝えるだけでなく、(必要に応じて)貢献しています。例については、https://issues.apache.org/bugzilla/show_bug.cgi?id=55542を参照してください。
Oracleプログラム
Java互換性およびパフォーマンスプログラム 私のOracleアカウントマネージャーによると、死んでいます。脆弱性がリバースエンジニアリングされるリスクがあるため、CPU用の類似プログラムへのアクセスは(Oracle内でも)厳密に制御されます。 (私はメンバーではないので、これ以上追求する予定はありません。)OpenJDKは、次のCPUに搭載されるものとビットごとに同一ではないことがわかっていますが、Oracleが推奨する互換性テストの方法です。
オラクルは、 JavaOne2013のセキュリティトラックも参照しています。 特に、スライドがオンラインで入手できる「JREでの1年間のセキュリティ強化」トーク。これらのスライドは、上記のブログが「可能な限り事前に通知する」と述べています。