From 1bd63af802d8a716dfcee172597fd252f6552ebb Mon Sep 17 00:00:00 2001 From: pi-farm Date: Tue, 10 Feb 2026 00:25:15 +0100 Subject: [PATCH] fix --- .gitea/workflows/docker-builder.yml | 18 ++++++++---------- 1 file changed, 8 insertions(+), 10 deletions(-) diff --git a/.gitea/workflows/docker-builder.yml b/.gitea/workflows/docker-builder.yml index 0a68651..ebe7420 100644 --- a/.gitea/workflows/docker-builder.yml +++ b/.gitea/workflows/docker-builder.yml @@ -257,11 +257,15 @@ jobs: env: COSIGN_PRIVATE_KEY: ${{ secrets.COSIGN_PRIVATE_KEY }} COSIGN_PASSWORD: ${{ secrets.COSIGN_PASSWORD }} + # 1. Schaltet OCI 1.1 Referrers frei COSIGN_EXPERIMENTAL: "1" + # 2. Deaktiviert den Transparenz-Log (Rekor) global für diesen Step + # Das ist das moderne Äquivalent zu --tlog-upload=false + COSIGN_SKIP_REKOR_UPLOAD: "true" run: | set -euo pipefail - # 1. Image Name + # Image Name bestimmen if [[ "$IS_TAG" == "true" ]]; then IMAGE_TO_SIGN="${REGISTRY_HOST}/${IMAGE_BASE}:${VERSION}" else @@ -271,16 +275,10 @@ jobs: echo "Signing image: $IMAGE_TO_SIGN" echo "$COSIGN_PRIVATE_KEY" > cosign.key - # 2. Konfiguration von Cosign selbst generieren lassen - # Das erstellt eine gültige YAML/JSON ohne Rekor-Endpunkt - cosign signing-config create --rekor-url "" > signing-config.yaml - - # 3. Signieren - # WICHTIG: --tlog-upload=false MUSS weg, da es mit --signing-config kollidiert + # Wir halten den Befehl so minimal wie möglich. + # Alle "Verbote" (kein Rekor) kommen oben aus den env-Variablen. cosign sign --yes --recursive --key cosign.key \ - --signing-config signing-config.yaml \ --registry-referrers-mode oci-1-1 \ "${IMAGE_TO_SIGN}" - # 4. Aufräumen - rm -f cosign.key signing-config.yaml \ No newline at end of file + rm -f cosign.key \ No newline at end of file