From 86af7cffd20c8801d1acd1c95c1a0f0310c8e5e0 Mon Sep 17 00:00:00 2001 From: pi-farm Date: Tue, 10 Feb 2026 00:21:12 +0100 Subject: [PATCH] fix cosign --- .gitea/workflows/docker-builder.yml | 21 ++++++++++----------- 1 file changed, 10 insertions(+), 11 deletions(-) diff --git a/.gitea/workflows/docker-builder.yml b/.gitea/workflows/docker-builder.yml index be717e6..ef3d394 100644 --- a/.gitea/workflows/docker-builder.yml +++ b/.gitea/workflows/docker-builder.yml @@ -257,7 +257,8 @@ jobs: env: COSIGN_PRIVATE_KEY: ${{ secrets.COSIGN_PRIVATE_KEY }} COSIGN_PASSWORD: ${{ secrets.COSIGN_PASSWORD }} - COSIGN_EXPERIMENTAL: 1 + # Schaltet OCI 1.1 frei (für saubere Registry ohne Tags) + COSIGN_EXPERIMENTAL: "1" run: | set -euo pipefail @@ -271,17 +272,15 @@ jobs: echo "Signing image: $IMAGE_TO_SIGN" echo "$COSIGN_PRIVATE_KEY" > cosign.key - # 2. Minimale Signing-Config ohne Rekor-URLs - # Das ist das Format, das der Protobuf-Parser schluckt - echo '{"rekorTlogUrls":[]}' > signing-config.json - - # 3. Signieren - # Wir nutzen die Config-Datei, um den Log zu deaktivieren - # und oci-1-1, um die Tags zu verstecken. + # 2. Signieren + # Wir nutzen --tlog-upload=false weiterhin, + # aber wir lassen die neue Signing-Config weg, um den Media-Type-Fehler zu umgehen. + # Falls Cosign wegen der Deprecation meckert, ignorieren wir die Warnung, + # solange es den Exit-Code 0 (Erfolg) gibt. cosign sign --yes --recursive --key cosign.key \ - --signing-config signing-config.json \ + --tlog-upload=false \ --registry-referrers-mode oci-1-1 \ "${IMAGE_TO_SIGN}" - # 4. Aufräumen - rm -f cosign.key signing-config.json \ No newline at end of file + # 3. Aufräumen + rm -f cosign.key \ No newline at end of file