docker - Docker构建和安全更新，最佳实践？

我目前正在将直接安装在服务器上的应用程序移动到Docker镜像。为此，我创建了一个Dockert文件，将其apt-get install打包，然后将我的应用安装在镜像中。

我的问题如下:

我应该如何处理安全更新？我在该镜像中安装了几个软件包，但是默认情况下，docker build重用了先前的层。

我看到3种可能性:

使用--no-cache(或仅--pull？)进行构建

在Dockerfile的末尾添加unattended-upgrade

安全更新，谁在乎？ (不是我最喜欢的解决方案...但这是默认的行为吗，这是常见的做法吗？)

最佳做法是什么？

最佳答案

我通常在Dockerfile的开头放置apt-get升级。每月一次，我发布--no-cache版本。另外，我还会发布容器所源自的图像的docker pull。例如docker pull ubuntu:xenial
如果您使用 Jenkins (Jenkins)，那么每月要做一次上述工作很容易。
unattended-upgrade选项看起来很有趣。让我们看看答案是否包括它作为选项。

问候

关于docker - Docker构建和安全更新，最佳实践？，我们在Stack Overflow上找到一个类似的问题：https://stackoverflow.com/questions/49917005/