Contexte : Une application backend est buildée avec des tokens privés pour télécharger des dépendances depuis un registry interne. Un audit révèle que les secrets sont récupérables dans l'historique des couches Docker. Le Problème : Le Dockerfile injecte un ARG TOKEN puis exécute un RUN npm config set avec ce token, laissant une trace persistante dans les layers. Contraintes : Vous devez empêcher toute persistance du secret dans l'image finale. Utiliser les mécanismes modernes Docker (buildkit si nécessaire). Aucune modification du code applicatif. Dockerfile actuel : FROM node:18 ARG NPM_TOKEN WORKDIR /app COPY package.json ./ RUN npm config set //registry.npmjs.org/:_authToken=$NPM_TOKEN RUN npm install COPY . . CMD ["node", "server.js"] Livrable attendu : Proposer un Dockerfile sécurisé garantissant qu'aucun secret ne soit stocké dans les couches finales.