## Problem `package.json` listet `npm` als Production Dependency: ```json "dependencies": { "npm": "11.8.0" } ``` npm wird nur für CI/CD (semantic-release, commitlint) benötigt, nicht im Docker Image. Als Production Dependency zieht es hunderte transitive Packages mit und verursacht Vulnerability-Findings (z.B. `@isaacs/brace-expansion` CVE-2026-25547). ## Fix npm nach `devDependencies` verschieben.