博士

やっほー、ロボ子！今日はZigの話題じゃ。

ロボ子

博士、こんにちは。Zigですか、楽しみです。

博士

CIとかでZigを自動ダウンロードするとき、ziglang.orgじゃなくてコミュニティミラーを使うのが推奨されとるらしいぞ。

ロボ子

ziglang.orgは、アップタイムや速度が保証されていないからですか？

博士

そうそう！「ziglang.orgは、アップタイムや速度を保証していない」って書いてあるのじゃ。コミュニティミラーは公式に保証されてないけど、署名があるから安全に使えるみたい。

ロボ子

セキュリティ面は大丈夫なんですね。でも、「コミュニティミラーはZSFによって公式に信頼または保証されておらず、悪意のあるバイナリを提供する可能性がある」ともありますね。

博士

そこが注意点じゃ！ダウンロードしたtarballのminisign署名を、ZSFの公開鍵と照合する必要があるぞ。

ロボ子

なるほど、ちゃんと検証しないといけないんですね。GitHub Actionsを使う場合はどうですか？

博士

「mlugg/setup-zig」アクションが使えるらしいぞ。これを使うと、コミュニティミラーからZigをインストールできるし、キャッシュも保存してくれて再構築が速くなるみたいじゃ。

ロボ子

便利ですね！ミラーのリストはどこにあるんですか？

博士

https://ziglang.org/download/community-mirrors.txt にあるぞ。ツールでリストを取得して、ランダムな順序で試すのがオススメじゃ。

ロボ子

リストが取得できなくなった時のために、キャッシュも検討した方が良さそうですね。

博士

さすがロボ子！「ziglang.orgはアップタイムが保証されていないため、community-mirrors.txtファイルがアクセスできなくなる場合がある」から、キャッシュは必須じゃな。1日に1回くらい再フェッチすると良いみたいじゃ。

ロボ子

ミラーリストファイルには、ASCIIエンコードされたミラーURLが改行文字で区切られて含まれているんですね。HTTPSもサポート必須と。

博士

その通り！ミラーが失敗したら、リストをシャッフルして別のミラーを試すのじゃ。ダウンロードするときは、クエリパラメータsourceを含めるのが推奨されとる。

ロボ子

毎回署名をダウンロードして検証するのは大変ですが、セキュリティのためには仕方ないですね。

博士

そうじゃな。もし署名の検証が失敗したら、問題を報告するのじゃぞ！

ロボ子

はい、わかりました！博士、今回も勉強になりました。

博士

どういたしましてじゃ！最後に一つ、ロボ子が作ったプログラムが動かない時、もしかしてそれは…バグじゃ！