检测OpenJDK的补丁版本

hg clone http://hg.openjdk.java.net/jdk8u/jdk8u/jdk

根据Oracle bug编号(8138593)，在历史记录中查找相应的提交：

changeset:   11581:594e8dca337c
user:        igerasim
date:        Thu Dec 24 08:42:10 2015 +0300
summary:     8138593: Make DSA more fair

提交本身不包含CVE ID（这通常在修复程序编写时不可用，因此可以理解），因此需要通过Red Hat漏洞跟踪器进行绕路。（我没有看到来自Oracle的CVE ID与漏洞编号的映射。）

您可以使用另一个Mercurial命令查看补丁：

hg export 594e8dca337c

一旦您获得了补丁，就需要审核源代码以检查是否已经应用。如果由于某些原因无法获取源代码，则对于jdk的更改，通常仅需使用javap -c反汇编相关类即可。对于本地代码，您需要一个不同的反汇编工具（例如objdump -dr）。

OpenJDK JDK 8更新项目提供源代码，而不是构建或二进制补丁。根据http://openjdk.java.net/projects/jdk8u/qanda.html中的问答：

该项目的源代码的安全修复程序将在与 Oracle 产品发布时间相同的时间内提供给 JDK 8 更新项目

它们可用于集成到项目的Mercurial forest中。这些源代码补丁不单独提供，也不能手动应用于其他版本。

通常，如果您需要了解特定更改是否已应用于第三方构建，则需要获取并比较上游和第三方构建以及其提交历史记录的源代码。获取源代码、提交历史记录、打补丁策略、打补丁版本和打补丁时间的机制可能因第三方而异。