> Докер - про решение dependency hell, путем отвязывания методов сборки, доставки и запуска приложения и его окружения от особенностей хост-системы.

Изначально-то это задумывалось не так. Микросервисные приложения и все тому подобное... Это потом, спустя годы оно превратилось в MSI для Linux. Виновато в этом отсутствие этого условного MSI. Можно его изобрести в будущем, но для этого придется сначала создать стандартизированную базовую систему, придумать что-то с безопасностью и там еще по-мелочи.

И ведь дяди-меинтейнеры не понимают, что сопротивление бесполезно. Ах сколько я слышал про чудесные репозитории как панацея, о прекрасных "юниксвеях" и прочих религиозных войнах. Получите-распишитесь. Вам придумали "инсталляторы", причем те люди, кто меньше всего в этом смыслит. Кривые косые тяп-ляп, пока все поголовно отрицали нужность. Тезис на поразмыслить: любые доводы противников всегда разбиваются о существующее рабочее решение и продолжат разбиваться до тех пор пока не будет предъявлена альтернатива решающая задачу лучше. Поэтому докеры, поэтому системд и то ли еще будет...

> А вот рут в контейнере - это практически рут на хосте.

Уффф. Да это еще полбеды. Вы на capabilities в ядре посмотрите и прослезитесь и на атрибуты из прошлого века на ФС. Вас даже мандатный контроль не спасёт, включенный и в контейнере и на хосте от дурачка с докер-контейнером.

С ростом популярности Linux, у него появляются пользователи. Пользователям в вопросах безопасности доверия нет, потому что они не администраторы и не понимают в этом ничего. Принципы и подходы к безопасности которые которые сложились в Linux за годы нужно пересматривать. Точка.