fix cosign

.gitea/workflows/docker-builder.yml

@@ -257,7 +257,8 @@ jobs:
         env:
           COSIGN_PRIVATE_KEY: ${{ secrets.COSIGN_PRIVATE_KEY }}
           COSIGN_PASSWORD: ${{ secrets.COSIGN_PASSWORD }}
-          COSIGN_EXPERIMENTAL: 1
+          # Schaltet OCI 1.1 frei (für saubere Registry ohne Tags)
+          COSIGN_EXPERIMENTAL: "1"
         run: |
           set -euo pipefail
           
@@ -271,17 +272,15 @@ jobs:
           echo "Signing image: $IMAGE_TO_SIGN"
           echo "$COSIGN_PRIVATE_KEY" > cosign.key
 
-          # 2. Minimale Signing-Config ohne Rekor-URLs
-          # Das ist das Format, das der Protobuf-Parser schluckt
-          echo '{"rekorTlogUrls":[]}' > signing-config.json
-
-          # 3. Signieren
-          # Wir nutzen die Config-Datei, um den Log zu deaktivieren
-          # und oci-1-1, um die Tags zu verstecken.
+          # 2. Signieren
+          # Wir nutzen --tlog-upload=false weiterhin, 
+          # aber wir lassen die neue Signing-Config weg, um den Media-Type-Fehler zu umgehen.
+          # Falls Cosign wegen der Deprecation meckert, ignorieren wir die Warnung, 
+          # solange es den Exit-Code 0 (Erfolg) gibt.
           cosign sign --yes --recursive --key cosign.key \
-            --signing-config signing-config.json \
+            --tlog-upload=false \
             --registry-referrers-mode oci-1-1 \
             "${IMAGE_TO_SIGN}"
 
-          # 4. Aufräumen
-          rm -f cosign.key signing-config.json
+          # 3. Aufräumen
+          rm -f cosign.key