Pelo menos para as bibliotecas básicas, como o OpenSSL e assim por diante, elas têm o conceito de tempos de execução . Estes são, e. GNOME, KDE, etc. E estes podem ser atualizados, mesmo que o próprio flatpak tenha sido construído com uma versão anterior do tempo de execução.
Fora isso, no entanto, as outras bibliotecas nas flatpaks precisam ser mantidas. Obviamente aqui o autor do aplicativo deve manter isso, caso contrário o aplicativo principal provavelmente também não será mantido, portanto você pode ter esse problema para o aplicativo principal também.