Warum Docker doof ist liegt primär an schlampigen Maintainern. Du packst dir da so ne Art fertige Blackbox auf deinen Server die dir irgendwas bereitstellt und wo du nicht weißt, wie sie das macht. Du weißt nicht, ob die Software sicher konfiguriert ist und oftmals wird das ganze stiefmütterlich gepflegt und geupdated.
Oft updated der Maintainer nur genau die Komponenten, welche er für eigene neue Features benötigt. Alles andere wird ignoriert. Sobald man auch nur ein Fünkchen Sicherheitsbewusstsein hat, sind fertige externe Docker-Images tot bzw. leben nur in einer Nische in einem eigenem VLAN.
Wenn man den kompletten Stack selbst betreibt, dann sieht das natürlich anders aus. Hier gibt es dann auch Tools, welche jede Library auf Sicherheits- und ähnliche Probleme scannen.