技术博客
它只检查 composer.lock 中已安装的依赖,不扫描源码或自定义代码。结果来自 Packagist 官方维护的 [Security Advisory Database](https://github.com/composer/advisories),覆盖主流 PHP 包(如 monolog/monolog、laravel/framework),但不会报出未收录的私有包或未公开披露的 0day。
直接在包名后面加 dev-分支名 即可,Composer 会自动从对应仓库拉取该分支的最新提交。这不是“安装分支”,而是把分支当作一个开发版本(version)来引用。
这是最典型的版本不匹配:Composer 读取 composer.json 中的 php 约束(比如 "php": "^8.1"),发现当前 CLI 的 PHP 版本不满足,直接中断。不是 Composer 自身版本问题,而是它在替你校验项目依赖的 PHP 环境底线。
Composer 默认走 packagist.org,国内直连慢且常超时。改优先级不是“加个镜像”就行,而是要控制「仓库发现顺序」和「包匹配逻辑」——关键在 composer.json 的 repositories 配置方式。
Webpack 5 把 CSS 压缩从内置逻辑里移出去了,哪怕你用了 MiniCssExtractPlugin 提取样式,最终生成的 .css 文件还是明文——这点很多人上线后才发现文件大得离谱。
本地镜像没生效,最常见原因是 composer.json 或全局配置里没真正切换源。Composer 优先级是:命令行参数 > 当前项目 composer.json 的 repositories > 全局 config(composer config -g repos.packagist)。如果项目里写了 "packagist.org": false 却没配自己的镜像地址,它会 fallback 到官方源。
composer outdated 不是“查有没有新版本”,而是查“有没有满足你当前版本约束的新版本”。
比如你在 composer.json 里写的是 "monolog/monolog": "^2.0",那它只关心 2.x 范围内的最新版(如 2.10.0),不会告诉你 3.0.0 已发布——哪怕 3.0.0 更安全、功能更强。
Composer 支持通过 path 类型仓库直接加载本地文件系统中的包,不需要发布到 Packagist 或私有服务器。这适用于你正在开发一个扩展包(比如 mycompany/laravel-widget),同时在另一个项目里调试它。
Composer 插件不是靠命令行临时启用的,必须在 composer.json 中声明依赖并指定类型。如果只用 composer require 装包但没配对类型,插件大概率不会生效。
它只管开发时用的代码,比如测试类、命令行工具、Mock 类——这些不该进生产包。Composer 不会把 autoload-dev 里的内容打包进 vendor/autoload.php 的主加载逻辑里,而是单独挂到 dev 模式下。