fix

.gitea/workflows/docker-builder.yml

@@ -257,11 +257,15 @@ jobs:
         env:
           COSIGN_PRIVATE_KEY: ${{ secrets.COSIGN_PRIVATE_KEY }}
           COSIGN_PASSWORD: ${{ secrets.COSIGN_PASSWORD }}
+          # 1. Schaltet OCI 1.1 Referrers frei
           COSIGN_EXPERIMENTAL: "1"
+          # 2. Deaktiviert den Transparenz-Log (Rekor) global für diesen Step
+          # Das ist das moderne Äquivalent zu --tlog-upload=false
+          COSIGN_SKIP_REKOR_UPLOAD: "true"
         run: |
           set -euo pipefail
           
-          # 1. Image Name
+          # Image Name bestimmen
           if [[ "$IS_TAG" == "true" ]]; then
             IMAGE_TO_SIGN="${REGISTRY_HOST}/${IMAGE_BASE}:${VERSION}"
           else
@@ -271,16 +275,10 @@ jobs:
           echo "Signing image: $IMAGE_TO_SIGN"
           echo "$COSIGN_PRIVATE_KEY" > cosign.key
 
-          # 2. Konfiguration von Cosign selbst generieren lassen
-          # Das erstellt eine gültige YAML/JSON ohne Rekor-Endpunkt
-          cosign signing-config create --rekor-url "" > signing-config.yaml
-
-          # 3. Signieren 
-          # WICHTIG: --tlog-upload=false MUSS weg, da es mit --signing-config kollidiert
+          # Wir halten den Befehl so minimal wie möglich.
+          # Alle "Verbote" (kein Rekor) kommen oben aus den env-Variablen.
           cosign sign --yes --recursive --key cosign.key \
-            --signing-config signing-config.yaml \
             --registry-referrers-mode oci-1-1 \
             "${IMAGE_TO_SIGN}"
 
-          # 4. Aufräumen
-          rm -f cosign.key signing-config.yaml
+          rm -f cosign.key