new cosign fix

.gitea/workflows/docker-builder.yml

@@ -261,7 +261,7 @@ jobs:
         run: |
           set -euo pipefail
           
-          # 1. Image Namen festlegen
+          # 1. Image Namen bestimmen
           if [[ "$IS_TAG" == "true" ]]; then
             IMAGE_TO_SIGN="${REGISTRY_HOST}/${IMAGE_BASE}:${VERSION}"
           else
@@ -269,20 +269,19 @@ jobs:
           fi
           
           echo "Signing image: $IMAGE_TO_SIGN"
-
-          # 2. Key aus Secret erstellen
           echo "$COSIGN_PRIVATE_KEY" > cosign.key
 
-          # 3. Eine minimale Signing-Config ohne Transparency Log erstellen
-          # Das ersetzt das alte --tlog-upload=false
-          echo '{"version":"v0.1","transparencyLog":{}}' > signing-config.json
+          # 2. Minimale Signing-Config ohne Rekor-URLs
+          # Das ist das Format, das der Protobuf-Parser schluckt
+          echo '{"rekorTlogUrls":[]}' > signing-config.json
 
-          # 4. Signieren mit der neuen Config
-          # Wir nutzen --signing-config anstatt --tlog-upload
+          # 3. Signieren
+          # Wir nutzen die Config-Datei, um den Log zu deaktivieren
+          # und oci-1-1, um die Tags zu verstecken.
           cosign sign --yes --recursive --key cosign.key \
             --signing-config signing-config.json \
             --registry-referrers-mode oci-1-1 \
             "${IMAGE_TO_SIGN}"
 
-          # 5. Aufräumen
+          # 4. Aufräumen
           rm -f cosign.key signing-config.json