De pont erre való a reproducible build. Hogy ha adott egy git tag, abból mindig bitre ugyanaz a szoftver bináris és konténer image essen ki. És igen, kell frissíteni, de azt, hogy mit milyen verzióra frissít, azt szépen el kell tárolni gitben, és a következő CI build legyártja belőle az image-et, amit lehet kitolni a szerverekre.
Nyilván ide el is kell jutni, és nem triviális ezt megcsinálni, de én inkább ennek a kialakításába invesztálnék pénzt mint az akármilyen vendor lock-in patch management eszközbe.