В http://docs.docker.com/engine/reference/builder/#arg, он рекомендует, чтобы секреты не передавались через ARGS.
Примечание. Не рекомендуется использовать переменные времени сборки для передачи секретов, таких как ключи github, учетные данные пользователя и т.д.
В какой момент секреты проходят через переменные времени сборки в опасности?