From 4b5b07a93b78b0aecc6f99be4783791b7409cc0e Mon Sep 17 00:00:00 2001 From: pi-farm Date: Tue, 10 Feb 2026 00:23:17 +0100 Subject: [PATCH] fix --- .gitea/workflows/docker-builder.yml | 20 ++++++++++---------- 1 file changed, 10 insertions(+), 10 deletions(-) diff --git a/.gitea/workflows/docker-builder.yml b/.gitea/workflows/docker-builder.yml index ef3d394..0a68651 100644 --- a/.gitea/workflows/docker-builder.yml +++ b/.gitea/workflows/docker-builder.yml @@ -257,12 +257,11 @@ jobs: env: COSIGN_PRIVATE_KEY: ${{ secrets.COSIGN_PRIVATE_KEY }} COSIGN_PASSWORD: ${{ secrets.COSIGN_PASSWORD }} - # Schaltet OCI 1.1 frei (für saubere Registry ohne Tags) COSIGN_EXPERIMENTAL: "1" run: | set -euo pipefail - # 1. Image Namen bestimmen + # 1. Image Name if [[ "$IS_TAG" == "true" ]]; then IMAGE_TO_SIGN="${REGISTRY_HOST}/${IMAGE_BASE}:${VERSION}" else @@ -272,15 +271,16 @@ jobs: echo "Signing image: $IMAGE_TO_SIGN" echo "$COSIGN_PRIVATE_KEY" > cosign.key - # 2. Signieren - # Wir nutzen --tlog-upload=false weiterhin, - # aber wir lassen die neue Signing-Config weg, um den Media-Type-Fehler zu umgehen. - # Falls Cosign wegen der Deprecation meckert, ignorieren wir die Warnung, - # solange es den Exit-Code 0 (Erfolg) gibt. + # 2. Konfiguration von Cosign selbst generieren lassen + # Das erstellt eine gültige YAML/JSON ohne Rekor-Endpunkt + cosign signing-config create --rekor-url "" > signing-config.yaml + + # 3. Signieren + # WICHTIG: --tlog-upload=false MUSS weg, da es mit --signing-config kollidiert cosign sign --yes --recursive --key cosign.key \ - --tlog-upload=false \ + --signing-config signing-config.yaml \ --registry-referrers-mode oci-1-1 \ "${IMAGE_TO_SIGN}" - # 3. Aufräumen - rm -f cosign.key \ No newline at end of file + # 4. Aufräumen + rm -f cosign.key signing-config.yaml \ No newline at end of file