Заключите его в крепкие кавычки, чтобы подстановочный знак не анализировался сразу:
$ watch -n1 'ls foo/bar*'
Вы правы насчет некоторых уязвимостей. Однако они не делают его -безопасным. Уязвимости не могут сделать его менее безопасным, чем отсутствие контейнеров. Единственный способ сделать это безопаснее — использовать аппаратную изоляцию (отдельного оборудования для каждой службы ).
Поэтому обновляйте свое программное обеспечение (последними исправлениями безопасности ).
Мнение оповещения :Я использую докер, есть и другие.