如何对现有docker映像应用安全修补程序？

如果存在使用特定基本映像的docker映像正在作为容器运行，并且基本映像有新的安全升级。将该安全修补程序应用于docker映像的最佳实践是什么

---

另外，如何知道是否有可用于基本映像的安全修补程序。

假设您有一个Dockerfile，它基于名为“base:latest”的映像，并且您已经构建了一个名为“MyImage:latest:latest”的映像

如果“Base:latest”已使用安全更新进行更新，则需要重建“MyImage:latest”

容器是映像实例，因此如果需要在容器中反映安全更新，则应基于“MyImage:latest”映像重新创建容器

请注意，您不希望在生产中对基本映像使用“latest”标记，因为您将无法复制相同的部署环境，因此最佳做法是使用特定的版本标记，如“1.0”。如果有更新可用，则需要将Dockerfile从“Base:1.0”更新为“Base:1.1”

因此，如果您的映像基于另一个映像，并且希望在不等待基础映像的新版本和更新版本的情况下运行安全更新，则可以在Dockerfile中运行安全更新命令，并确保偶尔重建映像并重新创建容器

您可能会使用一些工具来自动化这个过程，比如定期自动重建图像，然后重新创建容器

---

另一种选择是在容器级别运行自动更新，可能是通过使用每天运行的脚本，但是您应该考虑对运行进程负载的影响（网络、cpu等）。

假设您有一个基于名为“Base:latest”的映像的Dockerfile，并且您已经构建了一个名为“Base:latest”的映像“MyImage:最新：最新”

如果“Base:latest”已使用安全更新进行更新，则需要重建“MyImage:latest”

容器是映像实例，因此如果需要在容器中反映安全更新，则应基于“MyImage:latest”映像重新创建容器

请注意，您不希望在生产中对基本映像使用“最新”标记，因为您将无法复制相同的部署环境，因此最佳做法是使用特定的版本标记，如“1.0”。如果有更新可用，则需要将Dockerfile从“base:1.0”更新为“base:1.1”

因此，如果您的映像基于另一个映像，并且希望在不等待基础映像的新版本和更新版本的情况下运行安全更新，则可以在Dockerfile中运行安全更新命令，并确保偶尔重建映像并重新创建容器

您可能会使用一些工具来自动化这个过程，比如定期自动重建图像，然后重新创建容器

另一种选择是在容器级别运行自动更新，可能是通过使用每天运行的脚本，但您应该考虑对运行进程的影响（网络、cpu等）