L’image Raspberry Pi OS fournie applique le maximum de bonnes pratiques de sécurité 
Déjà effectivement comme dit @lmilcent dans le container Docker Gladys, à chaque déploiement d’une nouvelle version on re-deploie Gladys avec un container tout frais, basé sur un système entièrement à jour, et on met toutes les dépendances à jour lors de rapport de failles de sécurités.
En revanche ce n’est pas entièrement vrai !
On utilise le package « unattented-upgrade » au niveau de l’image système, package qui passe toutes nuit pour mettre à jour automatiquement les packages systèmes qui ont des failles de sécurité et qui peuvent être patché à chaud sans reboot, et uniquement ceux-ci pour ne pas breaker le système.
La seule chose que ce package ne fait pas, c’est en cas de faille critique au niveau du kernel, il est impossible de faire le patch à chaud et il faut donc passer par un reboot. Côté Gladys on ne peut pas décider quand faire le reboot car la domotique est un programme critique. Si tu utilise Gladys comme alarme et que Gladys se met à reboot au moment ou tu te fais cambrioler la nuit, ça le fait pas!
Néanmoins, les failles au niveau kernel linux sont plus rare, en général on en entend parler et on peut communiquer avec la communauté et dire qu’il faut reboot son système.