主要观点：

• 自动下载 Zig 时可使用社区镜像，ziglang.org 不保证可用性和速度，使用其直接配置 CI 会导致问题，社区镜像虽未获官方认可但无安全风险。
• 安全注意事项：社区镜像可能提供恶意二进制文件，使用时需验证下载的 tarball 的 minisign 签名。
• GitHub Actions：可使用mlugg/setup-zig动作安装 Zig 版本并保存缓存。
• 使用镜像：社区镜像列表在[https://ziglang.org/download/...]，需用工具随机获取并尝试，下载 tarball 时需同时下载签名并验证，推荐伪代码策略。
• 镜像可能不可访问，可缓存其内容，建议每天刷新一次，镜像列表会随生态系统变化每月增减，需定期刷新。
• 托管镜像：可参考www.ziglang.org 仓库中的文档。

关键信息：

• 社区镜像未获官方认可但无安全风险，需验证签名。
• GitHub Actions 可使用特定动作安装 Zig 并保存缓存。
• 社区镜像列表文件地址及相关使用要求，如支持 HTTPS、按顺序尝试等。
• 若镜像不可访问可缓存，定期刷新，镜像会变化。
• 托管镜像可参考特定文档。

重要细节：

• 每个 Zig tarball 都有 minisign 签名文件，下载 tarball 时需同时下载并验证签名。
• 推荐在请求中包含source参数表明请求来源。
• 不同 HTTP 状态码含义，如 503 表示计划停机，429 表示有意限速，404 特定情况可接受等。
• 托管镜像可参考www.ziglang.org 仓库中的 MIRRORS.md 文档。