Solución 1:
Una aplicación de paquetes de imágenes Docker y una "plataforma", eso es correcto. Pero, por lo general, la imagen se compone de una imagen base y la aplicación real.
Entonces, la forma canónica de manejar las actualizaciones de seguridad es actualizar la imagen base y luego reconstruir la imagen de su aplicación.
Solución 2:
Se supone que los contenedores son livianos e intercambiables. Si su contenedor tiene un problema de seguridad, reconstruye una versión del contenedor que está parcheado e implementa el nuevo contenedor. (muchos contenedores usan una imagen base estándar que usa herramientas de administración de paquetes estándar como apt-get para instalar sus dependencias, la reconstrucción extraerá las actualizaciones de los repositorios)
Si bien podría parchear dentro de los contenedores, eso no se escalará bien.
Solución 3:
Esto se maneja automáticamente en SUSE Enterprise Linux usando zypper-docker(1)
SUSE/zypper-docker
Inicio rápido de Docker