first commit

2025-11-08 16:56:11 +01:00
commit 344afb8c81
7 changed files with 460 additions and 0 deletions
--- a/README.md
+++ b/README.md
@@ -0,0 +1,177 @@
+# 🚀 Drone Publish Tool
+
+Ein leichtgewichtiges CI-Tool auf Basis von **Alpine Linux**, das in einer Drone CI-Pipeline automatisch:
+
+1. Docker-Images mit **[Cosign](https://github.com/sigstore/cosign)** signiert 🔏  
+2. und **Releases in [Gitea](https://gitea.io/)** erstellt 🏷️
+
+Das Tool vereinfacht den gesamten Veröffentlichungsprozess — von der Signierung bis zum Release —  
+und funktioniert sowohl **innerhalb von Drone** als auch **manuell**.
+
+---
+
+## 🧩 Features
+
+- ✅ Automatisches Signieren von Container-Images via Cosign  
+- ✅ Automatische Release-Erstellung in Gitea  
+- ✅ Vollständig über Umgebungsvariablen steuerbar (ideal für Drone Secrets)  
+- ✅ Kompatibel mit privaten Docker-Registries (z. B. Zot, Harbor, etc.)  
+- ✅ Minimal, sicher, portabel – basiert auf Alpine Linux
+
+---
+
+## ⚙️ Voraussetzungen
+
+1. **Drone CI** ist mit Gitea verbunden (z. B. via OAuth oder Token).  
+2. Dein Docker-Image ist bereits gebaut und in der Registry verfügbar.  
+3. Du hast die unten genannten Secrets in Drone hinterlegt.  
+4. Für die Signierung ist ein **Cosign-Schlüssel** vorhanden (siehe unten).
+
+---
+
+## 🔐 Erforderliche Secrets
+
+| Secret Name | Beschreibung | Beispielwert |
+|--------------|--------------|---------------|
+| `REGISTRY_URL` | Basis-URL deiner Registry | `registry.example.com` |
+| `DOCKER_USER` | Benutzername für Registry-Login | `ci-user` |
+| `DOCKER_PASS` | Passwort oder Token für Registry | `changeme123` |
+| `COSIGN_KEY` | Inhalt des privaten Cosign-Schlüssels (nicht der Pfad!) | `-----BEGIN ENCRYPTED PRIVATE KEY-----...` |
+| `COSIGN_PASSWORD` | Passwort für den Cosign-Schlüssel (kann leer sein) | *(leer)* |
+| `GITEA_URL` | Basis-URL deines Gitea-Servers | `https://gitea.example.com` |
+| `GITEA_TOKEN` | Personal Access Token für Gitea API | `ghp_abc123tokenxyz` |
+
+---
+
+## 🔑 Cosign-Schlüssel erzeugen
+
+Falls du noch keinen Cosign-Schlüssel hast, kannst du ihn einfach per Docker erzeugen:
+
+```bash
+docker run --rm -v $(pwd):/keys \
+  -e COSIGN_PASSWORD="meinpasswort" \
+  gcr.io/projectsigstore/cosign:latest generate-key-pair
+```
+
+Danach findest du zwei Dateien:
+
+- 🗝️ **`cosign.key`** → Privater Schlüssel (als Secret `COSIGN_KEY` in Drone hinterlegen)  
+- 🔓 **`cosign.pub`** → Öffentlicher Schlüssel (optional in Zot für Signaturprüfung hinterlegen)
+
+---
+
+## ⚡ Beispiel: Verwendung in Drone CI
+
+Nach erfolgreichem Build kann das Tool als separater Step eingebunden werden,  
+um das erstellte Image zu signieren und in Gitea automatisch als Release zu veröffentlichen.
+
+```yaml
+kind: pipeline
+type: docker
+name: release
+
+steps:
+  - name: build
+    image: docker:26
+    privileged: true
+    environment:
+      REGISTRY_URL:
+        from_secret: REGISTRY_URL
+      DOCKER_USER:
+        from_secret: DOCKER_USER
+      DOCKER_PASS:
+        from_secret: DOCKER_PASS
+    volumes:
+      - name: docker_sock
+        path: /var/run/docker.sock
+    commands:
+      - docker login $REGISTRY_URL -u "$DOCKER_USER" -p "$DOCKER_PASS"
+      - docker build -t $REGISTRY_URL/public/myapp:$DRONE_BUILD_NUMBER .
+      - docker push $REGISTRY_URL/public/myapp:$DRONE_BUILD_NUMBER
+      - echo "IMAGE_FULL=$REGISTRY_URL/public/myapp:$DRONE_BUILD_NUMBER" >> build.env
+      - echo "VERSION_TAG=v$DRONE_BUILD_NUMBER" >> build.env
+
+  - name: publish
+    image: registry.example.com/public/drone-publish-tool:latest
+    environment:
+      COSIGN_KEY:
+        from_secret: COSIGN_KEY
+      COSIGN_PASSWORD:
+        from_secret: COSIGN_PASSWORD
+      GITEA_URL:
+        from_secret: GITEA_URL
+      GITEA_TOKEN:
+        from_secret: GITEA_TOKEN
+      REGISTRY_URL:
+        from_secret: REGISTRY_URL
+      DOCKER_USER:
+        from_secret: DOCKER_USER
+      DOCKER_PASS:
+        from_secret: DOCKER_PASS
+    commands:
+      - . build.env
+      - export GITEA_REPO="$DRONE_REPO_OWNER/$DRONE_REPO_NAME"
+      - /usr/local/bin/entrypoint.sh
+
+volumes:
+  - name: docker_sock
+    host:
+      path: /var/run/docker.sock
+```
+
+💡 **Hinweis:**  
+`IMAGE_FULL` und `VERSION_TAG` werden aus dem Build-Step übernommen,  
+damit das Tool weiß, welches Image signiert und welcher Release erstellt werden soll.
+
+---
+
+## 🧰 Beispiel: Manuelle Nutzung
+
+Du kannst das Tool auch außerhalb von Drone direkt ausführen,  
+z. B. zum Testen oder für manuelle Releases:
+
+```bash
+docker run --rm \
+  -e IMAGE_FULL=registry.example.com/public/myapp:v42 \
+  -e VERSION_TAG=v42 \
+  -e COSIGN_KEY="$(cat cosign.key)" \
+  -e COSIGN_PASSWORD="" \
+  -e GITEA_URL=https://gitea.example.com \
+  -e GITEA_TOKEN=ghp_abc123tokenxyz \
+  -e GITEA_REPO=patrick/myapp \
+  registry.example.com/public/drone-publish-tool:latest
+```
+
+Damit signierst du das Image `myapp:v42` und erzeugst gleichzeitig ein Release in Gitea.  
+Das funktioniert auch ohne Drone CI – ideal zum Testen oder Troubleshooting.
+
+---
+
+## 📦 Image-Metadaten (OCI Labels)
+
+Das Tool bringt vollständige [OCI Labels](https://github.com/opencontainers/image-spec/blob/main/annotations.md) mit,  
+damit es in Registries wie Zot oder Harbor korrekt beschrieben angezeigt wird:
+
+| Label | Beschreibung |
+|--------|---------------|
+| `org.opencontainers.image.title` | Drone Publish Tool |
+| `org.opencontainers.image.description` | Automatisiertes Drone CI Tool zum Signieren und Erstellen von Gitea-Releases |
+| `org.opencontainers.image.version` | 1.0.0 |
+| `org.opencontainers.image.vendor` | Buchhorster IT |
+| `org.opencontainers.image.source` | https://gitea.buchhorster.de/patrick/drone-publish-tool |
+| `org.opencontainers.image.licenses` | MIT |
+
+---
+
+## 🧾 Lizenz
+
+**MIT License**  
+© 2025 Patrick Buchhorst / Buchhorster IT
+
+---
+
+## 🧩 Changelog
+
+| Version | Änderungen |
+|----------|-------------|
+| `1.0.0` | Erste Version mit Image-Signing (Cosign) und Gitea-Release-Funktion |