Docker 镜像是在某个时间点构建的,然后它们由这些镜像的用户获取,并基于它们创建容器。查看 Linux 发行版(如 Ubuntu)上出现更新的频率,这是否意味着图像在发布到图像存储库后的第二天就已经过时了?
假设有人为他们的应用创建了一张图片:
FROM ubuntu
RUN apt update -y # or whatever the command to update on Ubuntu is
WORKDIR /myapp
COPY ./* ./
# and some other stuff
应用程序在某一天构建(使用ubuntu:latest从那天开始),所有最新的补丁都通过 应用RUN apt update -y,并且图像被推送到 Docker 存储库。现在,如果第二天在 Ubuntu 的 apt repo 上发布了一些重要的更新(比如一些 openssl 补丁)。我的应用程序呢?在我手动决定重建映像并再次推送之前,现在是否不安全?也许我们实际上不应该关心图像/容器是否过时而只担心运行容器的主机是否是最新的?如果是这样,为什么?