OpenJDK Bug-systeem
Volgens dit bericht op de jdk7u-dev mailinglijst, het OpenJDK bug-systeem kan een subset van het antwoord geven.
In de mailinglijst staat dat bugs met het CPU-critical-request-label worden overwogen voor opname in de volgende CPU en dat bugs met het CPU-critical-approved-label zijn goedgekeurd voor opname in de volgende CPU. In de praktijk lijkt het er echter op dat ze meer specifieke labels gebruiken. Voor de 7u51-update die gepland staat voor januari 2014, lijken de labels CPU14_01-critical-request en CPU14_01-critical-approved te zijn.
U kunt door de volledige set labels bladeren om uw eigen weloverwogen gissingen te maken over labels voor volgende CPU's. Je kunt ook bugs zien waarvan de "fix-versie" 7u51 is.
Java Platform Group, blog over productbeheer
De Java Platform Group, blog over productbeheer lijkt een andere weg te zijn voor gedeeltelijke informatie. In deze opmerking bij de "Bijgewerkte beveiligingsbasislijn (7u45) heeft invloed op Java 7u40 en eerder met instellingen voor hoge beveiliging", zegt Erik Costlow van Oracle:
Een van de redenen waarom we deze blog hebben gemaakt, is dat het ons een manier geeft om zoveel mogelijk informatie te verstrekken, zelfs meer dan het al heeft gedaan op de verschillende OpenJDK-mailinglijsten.
Er zijn enkele wijzigingen die we niet van tevoren kunnen melden, en ik hoop dat dit tot een minimum kan worden beperkt. Voor andere veranderingen posten we hier niet alleen over, ik ga ook andere projecten onderzoeken en niet alleen vertellen, maar (indien van toepassing) bijdragen. Zie https://issues.apache.org/bugzilla/show_bug.cgi?id=55542 voor een voorbeeld.
Oracle-programma's
Het Java-compatibiliteits- en prestatieprogramma is dood, volgens mijn Oracle-accountmanager. Toegang tot een analoog programma voor CPU's wordt streng gecontroleerd (zelfs binnen Oracle) vanwege het risico dat kwetsbaarheden reverse-engineered worden. (Ik ben geen lid en ben niet van plan om het verder na te streven.) OpenJDK is Oracle's voorkeursmethode voor compatibiliteitstests, ook al is bekend dat het niet bit-voor-bit identiek is aan wat er in de volgende CPU zal zijn.
Oracle verwijst ons ook naar de Security Track op JavaOne 2013 , in het bijzonder de "One Year of Security Enhancements in the JRE"-lezing, waarvan de dia's online beschikbaar zijn. Die dia's zeggen op hun beurt dat de hierboven genoemde blog "zo veel mogelijk van tevoren op de hoogte zal stellen".