SQL Server 2017 CU10にはCVE-2018-8273修正プログラムが含まれていますか？

はい、セキュリティ修正はCUにあります。 Microsoft内の信頼できる情報源からの直接の非公開コメント：

セキュリティ修正always後続のCUへのロールアップ。それは何年もの間そうでした。

マイクロソフトの他の同僚から：

特定のベースラインのすべてのCUサービスリリースは、そのベースライン（RTMまたはSP）でこれまでにリリースされたすべての以前のセキュリティ更新、CU、およびオンデマンドホットフィックスの100％累積です。これは、物理的に同じCUソースリポジトリを使用し、修正固有のリリースリポジトリがなく、リリースされた修正を削除しないという事実により、機械的に義務付けられています。

履歴上の例外はほとんどありませんが、累積的な更新には常に下位ビルドの修正が含まれます同じブランチから、セキュリティなど。 SQL Server 2017より前のバージョンでは、サービスパックのバージョン管理方法が異なるため、これは異なる場合がありました（たとえば、サービスパック2 RTMは、sp1 cu28よりもビルド番号が大きいですが、後者は6か月間新しいものです）。 。しかし、それは単なる表面的なものであり、ブランチに対しては依然として成り立ちますが、サービスパックレベルを無視して@@VERSIONの数値のみを比較している場合は、常に成り立つわけではありません。

マイクロソフトは、セキュリティ修正プログラムがCU10に含まれていることを明示的に文書化していますか？修正が存在することを経営陣に証明できるようにしたいのですが。

特定のCUに含まれている（または含まれていない）修正について、特にこのようなことが発生した場合の透明性の向上を複数回求めました-CU間に独自の問題のセットを持つセキュリティホットフィックスがリリースされました。彼らはフィードバックを受けており、少なくとも Release Services Team blog の各リリースを発表する公式のドキュメントが見られることを期待しています。

私が言えることは、それはあちらこちらで動きの速いマシンではなく、自動化されたプロセスと弁護士の両方が、CU KB記事などの自動生成されたコンテンツで開示される可能性のあるものを邪魔することがあります。とりあえず、あなたは私の（そして彼らの）言葉をそれに取らなければならないでしょう。