技术博客
它只检查 composer.lock 中已安装的依赖,不扫描源码或自定义代码。结果来自 Packagist 官方维护的 [Security Advisory Database](https://github.com/composer/advisories),覆盖主流 PHP 包(如 monolog/monolog、laravel/framework),但不会报出未收录的私有包或未公开披露的 0day。
直接在包名后面加 dev-分支名 即可,Composer 会自动从对应仓库拉取该分支的最新提交。这不是“安装分支”,而是把分支当作一个开发版本(version)来引用。
开启 classmap-authoritative 后,Composer 会完全跳过 PSR-4/PSR-0 的文件扫描逻辑,只从生成的 vendor/composer/autoload_classmap.php 中查类名。这意味着:没有 file_exists()、没有 is_dir()、没有递归遍历 src/ 或 lib/ —— 每次 new Foo() 都是纯数组查找,O(1)。
重点看报错里带路径的那一行,比如:file_put_contents(/path/to/project/vendor/autoload.php): failed to open stream: Permission denied,说明问题就卡在 vendor/ 目录上。
这是最典型的版本不匹配:Composer 读取 composer.json 中的 php 约束(比如 "php": "^8.1"),发现当前 CLI 的 PHP 版本不满足,直接中断。不是 Composer 自身版本问题,而是它在替你校验项目依赖的 PHP 环境底线。
这通常不是网络问题,而是 Composer 没法通过 SSH 访问私有 Git 仓库。Composer 默认走 HTTPS 协议拉取包,但你的私有仓库只开了 SSH(比如 git@git.example.com:org/pkg.git),而 SSH 密钥没配好或没被 Composer 正确使用。
Composer 默认走 packagist.org,国内直连慢且常超时。改优先级不是“加个镜像”就行,而是要控制「仓库发现顺序」和「包匹配逻辑」——关键在 composer.json 的 repositories 配置方式。
composer global remove 命令在 Composer 2.2+ 中才正式支持,低于该版本会报错 Command "global:remove" is not defined。所以第一步得确认你的 Composer 版本。
别用 root 运行 composer,这不是权限问题,是安全漏洞。你遇到的所谓“权限不足”,99% 是因为 vendor/ 目录归属或 composer.json 所在路径的写入权限不对,不是 composer 本身需要提权。
本地镜像没生效,最常见原因是 composer.json 或全局配置里没真正切换源。Composer 优先级是:命令行参数 > 当前项目 composer.json 的 repositories > 全局 config(composer config -g repos.packagist)。如果项目里写了 "packagist.org": false 却没配自己的镜像地址,它会 fallback 到官方源。