码头建设和安全更新，最佳实践？

Question

目前，我正在将一个直接安装在服务器上的应用程序移动到一个码头映像中。对此，我创建了一个Dockerfile，用于apt-get install我的软件包，然后在映像中安装我的应用程序。

我的问题如下：

我应该如何处理安全更新？我正在该映像中安装几个包，但默认情况下，docker build重用前面的层。

我认为有三种可能性：

• 使用--no-cache构建(还是只使用--pull?)
• 在Dockerfile末尾添加一个unattended-upgrade
• 安全更新，谁在乎呢？(不是我最喜欢的解决办法.但这是常见的做法吗，因为这是默认行为吗？)

最好的做法是什么？

Answer 1

我通常在Dockerfile的开头放一个apt升级。每个月我发布一次--no-cache构建。此外，我还发出来自我的容器的图像的docker pull。例如，docker pull ubuntu:xenial

如果你使用Jenkins，那么每个月就很容易找到一份工作来完成上述工作。

unattended-upgrade选项看起来很有趣。让我们看看一个答案是否包括它作为一个选项。

问候