Ha betartod a docker tervezési alapelveket, akkor a konténereid állapotmentesek, és nem tartalaznak érzékeny infót. Ebben az esetben felrakod a docker hub-ra, összerakod hogy működjön az autobuild, és akkor amikor rádjön a frissítés, csak lehúzod az aktuális verziójú image-et, és elindítod a megfelelő környezeti változókkal, volume-mal stb. ahol tartottad a konfigot és állapotot.
Ez a kezdeti kicsit nagyobb munka után konkrétan 2 parancs kiadását jelenti, ami megegyezik az OS csomag frissítéssel. Ráadásul ha itt valami gáz van, egyetlen parancs visszaindítja az előző verziót. A docker nem a virtualizáció szent grálja, de ha arra használod amire való, akkor nagyban megkönnyíti az életet, és ez főleg a frissítések idején jelentkezik.
Ráadásul ne felejtsd el hogy egy konténerben nagyon kevés komponens van, és jól definiált a ki- és belépési pontja, eléggé le van szűkítve a lehetséges támadási vektorok köre - ha nem a kiajánlott szolgáltatásban van a lyuk, akkor az elmaradó frissítés se kritikus.