OpenJDK Bug System
Ifølge dette indlæg på jdk7u-dev-mailinglisten er OpenJDK-fejlsystemet kan give en delmængde af svaret.
Postlisteindlægget siger, at fejl med CPU-kritisk-anmodnings-etiketten er under overvejelse for medtagelse i den næste CPU, og fejl med CPU-kritisk-godkendt etiket er blevet godkendt til medtagelse i den næste CPU. Men i praksis ser det ud til, at de bruger mere specifikke etiketter. For 7u51-opdateringen, der er planlagt til januar 2014, ser etiketterne ud til at være CPU14_01-critical-request og CPU14_01-critical-approved.
Du kan gennemse det fulde sæt af etiketter for at lave dine egne kvalificerede gæt om etiketter til efterfølgende CPU'er. Du kan også se fejl, hvis "fix version" er 7u51.
Java Platform Group, Product Management blog
Java Platform Group, Product Management-bloggen ser ud til at være en anden mulighed for delvis information. I denne kommentar til "Opdateret sikkerhedsbaseline (7u45) påvirker Java 7u40 og før med høje sikkerhedsindstillinger", siger Erik Costlow fra Oracle:
En af grundene til, at vi oprettede denne blog, er, at den giver os en måde at give så meget information, som vi kan, endnu mere end det allerede har gjort på de forskellige OpenJDK-mailinglister.
Der er nogle ændringer, som vi ikke kan give forhåndsmeddelelse om, og mit håb er at holde det på et minimum. Med hensyn til andre ændringer poster vi ikke kun om dem her, jeg går faktisk ud i andre projekter og fortæller dem ikke kun, men bidrager (efter behov). Se https://issues.apache.org/bugzilla/show_bug.cgi?id=55542 for et eksempel.
Oracle-programmer
Java-kompatibilitets- og ydeevneprogrammet er død, ifølge min Oracle-kontochef. Adgang til et analogt program til CPU'er er stramt kontrolleret (selv i Oracle) på grund af risikoen for, at sårbarheder bliver reverse-engineeret. (Jeg er ikke medlem og har ikke tænkt mig at forfølge det yderligere.) OpenJDK er Oracles foretrukne metode til kompatibilitetstest, selvom den vides ikke at være bit-for-bit identisk med, hvad der vil være i den næste CPU.
Oracle henviser os også til Sikkerhedssporet på JavaOne 2013 , især foredraget "One Year of Security Enhancements in the JRE", hvis slides er tilgængelige online. Disse slides siger til gengæld, at bloggen nævnt ovenfor vil give "så meget forhåndsvarsel som muligt".