Soluzione 1:
Un'immagine Docker raggruppa l'applicazione e la "piattaforma", è corretto. Ma di solito l'immagine è composta da un'immagine di base e dall'applicazione vera e propria.
Quindi il modo canonico per gestire gli aggiornamenti di sicurezza è aggiornare l'immagine di base, quindi ricostruire l'immagine dell'applicazione.
Soluzione 2:
I contenitori dovrebbero essere leggeri e intercambiabili. Se il tuo contenitore presenta un problema di sicurezza, ricostruisci una versione del contenitore con patch e distribuisci il nuovo contenitore. (molti contenitori utilizzano un'immagine di base standard che utilizza strumenti standard di gestione dei pacchetti come apt-get per installare le loro dipendenze, la ricostruzione estrarrà gli aggiornamenti dai repository)
Sebbene tu possa applicare patch all'interno dei contenitori, non si ridimensionerà bene.
Soluzione 3:
Questa operazione viene gestita automaticamente in SUSE Enterprise Linux utilizzando zypper-docker(1)
SUSE/zypper-docker
Avvio rapido di Docker