回答:
簡単な答えは「はい」です。依存関係を更新する必要がある場合は、スナップを再構築する必要があります。ただし、ここにも長い回答があります。
SSLを使用するアプリケーションがあるとします(組み込みソフトウェアやApacheを使用した本格的なWebサイトなど)。調査を行い、特定の鍵交換と対称アルゴリズムを利用します。ここで、SSLにセキュリティの脆弱性が発見され、新しいバージョンがリリースされたとしましょう。それがセキュリティリリースであるという理由だけで、パッチを当てた脆弱性が、使用したアルゴリズムの1つにあったことを意味するものではありません。そうでない場合はどうなりますか?使用していないアルゴリズムの脆弱性にパッチを適用して、何かをしたとしたら使用が壊れていたり、危険にさらされていたりしました(最近、PHPを使用して起こりました)。それをバンドルしている場合は、使用ごとにアップグレードする必要があるかどうかについて電話をかけることができます。すべてのユーザーに公開する前に、広範囲にテストすることもできます。また、ターゲットとするディストリビューションのソフトウェアのバージョンとは異なるバージョンのSSLが使用されている可能性もあり、スナップショットにバンドルすると、プラットフォーム間で共通のエクスペリエンスが提供されます。
依存関係を共有することの利点とそれらをバンドルすることの利点の間には、明らかにトレードオフがあります。