...
Wenn es bei dir wirklich nur um das eine Image geht, würde ich dir empfehlen einfach in dem Container die "unattended-updates" zu aktivieren. Das sollte mittlerweile bei jeder Distribution ohne weiteres möglich sein.
Auch das ist nur bedingt möglich. Dies setzt voraus, dass eine Art Crondaemon im Container läuft, um regelmäßig Jobs auszuführen. Dies ist bei meinem Postgress-Container nicht der Fall! Dort läuft Postgress und sonst kein anderer Prozess. Theoretisch könnte man einen Container auch so weit abspecken, dass er keine Systemtools wie apt oder yum enthält.
Das Watchtower das Du erwähnt hast gefällt mir gut. Ich denke ich werde die vorgefertigten Container durch meine eigenen ersetzen und die Images mit Watchtower aktuell halten. ist etwas mehr Aufwand aber auch ein guter Vorwand, mich mit Docker näher auseinander zu setzen.