> Во-вторых, apt pinning в частности и apt preferences в целом имеет прямое отношение к
> управлению пакетами в Debianвсе это прекрасно, но мы тут обсуждаем докер. Где ручные настройки невозможны, а ручные выведенные в конфигурационные файлы - противопоказаны, потому что их крайне неудобно сопровождать.
то есть это все очень замечательно на вашем десктопе, где вы тщательно полируете набор любимых глюкал, каждое индивидуально, но никуда не годится на сервере, и вовсе непригодно для такой материи как докер-контейнер, который не принято обновлять изнутри вручную. (и, опять же, хотелось бы сохранить минимального размера)
> В-третьих, про man 5 apt_preferences я не "для красного словца" упомянул: можно приоритет для
> Pin: origin *debian-security повысить
а смысл? Нам, если вы не поняли, надо автоматику установки только необходимых обновлений.
apt-get upgrade их и так поставит, с приоритетами по умолчанию (кто перемешал несовместимые репо и получил не ту версию - сам себе буратина, apt не виноват, я и в rhel так могу), только не "необходимые", а все подряд. Предварительно потребовав синхронизации кэшей, потому что обновления могут быть только самые распоследние, а со старым будет file not found. (и технически - может этим сломать билд, если попадает в неудачный момент). Докеру эти действия противопоказаны. Аж вот в документацию вынесено предупреждение, чтоб так не делали.
Прочие варианты неудобны тем, что сейчас необходимы вот эти, а завтра где-то найдут уязвимость, и необходимых прибавится. А я в Магадане на подледной рыбалке - и вместо того чтобы ответить коллеге "пофиг, щас сработает ребилд-скрипт и апдейты подтянутся, получишь письмо - рестартани контейнеры на проде штатным образом", срочно пакуюсь в ящик для пересылки в родной офис, чтобы руками что-то туда добавить. Или, того хуже, коллега не в теме, и опеннетов тоже нечитатель - так и живем с дырой, пока я не выйду на связь.
> В-четвёртых, а Ubuntu-то причём тут?
при том, что все эти проблемы у нее унаследованы от дебиана, своего пакетного менеджера нет. И некоторые другие, не имеющие отношения к апдейтам, тоже.
Проблем непосредственно убунты, связанных с использованием ее внутри контейнера, я пока не видел. На серверах, там да.
P.S. хозяйке на заметку - своевременный apt-get remove позволяет слегка уменьшить размер результирующего образа - если вы FROM ubuntu:latest, там есть масса того ,что можно безнаказанно поудалять, соответственно, не получив потом апдейтов этого ненужно.