При выборе между контейнерным решением для приложений и контейнерным решением для ОС можно принять решение о безопасности. Я недостаточно осведомлен, чтобы сравнивать и противопоставлять их. Я предполагаю, что они разные, но один из них значительно более открытый, чем другой?
С точки зрения безопасности, и, на мой взгляд, rkt тоже заслуживает внимания.
См., Например, CoreOS несколько самоуверенное сравнение ркт на альтернативные контейнерные системы.
Как они отмечают, docker теперь использует containerd под капотом и предоставляет целую кучу `` вещей '', связанных с запуском контейнеров - я бы склонен думать, что дополнительные функции, вероятно, приведут к большей поверхности атаки, чем большее количество barebone-систем (например, containerd ).
Вы также должны иметь в виду, что безопасность многих (если не всех) решений, которые вы перечисляете, повышается за счет надлежащим образом усиленного ядра (например, PaX) и системы (например, seLinux).