Sistema de Bug OpenJDK
De acordo com este post na lista de discussão jdk7u-dev, o sistema de bugs OpenJDK pode fornecer um subconjunto da resposta.
A postagem da lista de discussão diz que os bugs com o rótulo CPU-critical-request estão sendo considerados para inclusão na próxima CPU e os bugs com o rótulo CPU-critical-approved foram aprovados para inclusão na próxima CPU. No entanto, na prática, parece que eles estão usando rótulos mais específicos. Para a atualização 7u51 planejada para janeiro de 2014, os rótulos parecem ser CPU14_01-critical-request e CPU14_01-critical-approved.
Você pode navegar pelo conjunto completo de rótulos para fazer suas próprias suposições sobre rótulos para CPUs subsequentes. Você também pode ver bugs cuja "versão de correção" é 7u51.
Java Platform Group, blog de gerenciamento de produtos
O Java Platform Group, blog de gerenciamento de produtos parece ser outro caminho para informações parciais. Neste comentário para a entrada "Updated Security Baseline (7u45) impacta Java 7u40 and before with High Security settings", Erik Costlow, da Oracle, diz:
Uma das razões pelas quais criamos este blog é que ele nos dá uma maneira de fornecer o máximo de informações possível, ainda mais do que já é feito nas várias listas de discussão do OpenJDK.
Existem algumas mudanças sobre as quais não podemos fornecer aviso prévio, e minha esperança é manter isso no mínimo. Para outras mudanças, não apenas estamos postando sobre elas aqui, mas estou entrando em outros projetos e não apenas contando a eles, mas (conforme apropriado) fazendo contribuições. Veja https://issues.apache.org/bugzilla/show_bug.cgi?id=55542 para um exemplo.
Programas Oracle
O Programa de Compatibilidade e Desempenho Java está morto, de acordo com meu gerente de contas da Oracle. O acesso a um programa análogo para CPUs é rigidamente controlado (mesmo dentro da Oracle) devido ao risco de vulnerabilidades sofrerem engenharia reversa. (Não sou um membro e não pretendo continuar com ele.) O OpenJDK é o método preferido de teste de compatibilidade da Oracle, embora se saiba que ele não é idêntico bit a bit ao que será na próxima CPU.
A Oracle também nos indica o Security Track at JavaOne 2013 , em particular a palestra "Um ano de aprimoramentos de segurança no JRE", cujos slides estão disponíveis online. Esses slides, por sua vez, dizem que o blog mencionado acima dará "aviso com a maior antecedência possível".