composer self-update 默认不跨主版本升级,v1 用户需显式执行 composer self-update –2 才能升级到 v2,这是官方设计行为而非 bug。
composer self-update 不升级到 2.x?这是设计行为,不是 bug
如果你运行 composer self-update 后仍是 Composer version 1.10.22,不是命令失效,而是 Composer 官方明确限制:self-update 默认**不跨主版本升级**。v1 和 v2 在依赖解析、插件 ABI、autoload 性能上完全不兼容,所以 v1 用户必须显式声明要升 v2。
- 确认当前是否真在跑 v1:
which composer+composer --version,避免系统里有多个版本(比如 apt 装的旧版覆盖了手动安装的新版) - 强制升级到最新 v2:
composer self-update --2 - 如果提示权限错误(如
Permission denied: /usr/local/bin/composer),说明文件属 root,应改用sudo composer self-update --2—— 这里不用怕,因为self-update本身是原子操作,失败不会破坏旧版 - 国内网络卡住?不是镜像问题(
self-update走的是 github release API,不走 packagist),临时加代理:export httpS_PROXY=http://127.0.0.1:7890再执行
升级后 Your requirements could not be resolved 报错?不是 Composer 坏了,是它变“较真”了
Composer 2.x 默认启用更严格的依赖解析器(SAT solver),不再容忍模糊约束、循环 require 或锁文件与 composer.json 不一致。以前能蒙混过关的项目,升级后立刻报错,这不是故障,是提前暴露了本就存在的依赖隐患。
- 典型诱因:
"monolog/monolog": "^1.0 || ^2.0"这种写法在 v1 中可能侥幸通过,v2 直接拒绝——它要求每个包只能锁定一个明确主版本 - 先检查锁文件是否“脏”:
composer update --dry-run看哪些包会被重算;若只是小范围冲突,可尝试composer update --with-dependencies强制对齐 - 若项目强依赖某个已废弃的 v1-only 插件(如老版
fxp/composer-asset-plugin),v2 会直接跳过加载,需找替代方案或降级(composer self-update --1) - PHP 版本也得跟上:v2 要求 PHP ≥ 7.2,如果还在用 7.1,升级后
composer命令本身就会 fatal Error
用包管理器装的 Composer,别硬套 self-update
如果你是用 apt install composer(ubuntu/debian)或 yum install composer(centos)装的,self-update 可能更新失败,或更新后被下次系统升级覆盖。包管理器安装的 Composer 通常绑定系统 PHP 和安全策略,和官方 Phar 行为不一致。
- 查来源最简单:
dpkg -l | grep composer(Debian/Ubuntu)或rpm -qa | grep composer(RHEL/CentOS) - 如果是包管理器安装,优先用系统命令更新:
sudo apt update && sudo apt install --only-upgrade composer - 但要注意:这些源里的版本往往滞后(例如 Ubuntu 22.04 源中仍是 v2.2.x,而当前最新是 v2.7.x),如需新特性或安全修复,建议卸载后改用官方安装器:
curl -sS https://getcomposer.org/installer | php && sudo mv composer.phar /usr/local/bin/composer - 卸载前记得备份
~/.composer/auth.json(含私有仓库 Token)——包管理器安装不管理这个文件,重装后要手动恢复
CI/CD 流水线里升级 Composer 要格外小心
自动化环境里 composer self-update 看似省事,但容易引入不可控变量:网络波动导致超时、签名验证失败、甚至因缓存机制拉到旧版。很多 CI 失败根本原因不是代码,而是 Composer 版本漂移。
- 固定版本比“最新版”更可靠:在 CI 脚本中明确写死
composer self-update 2.7.7,而非self-update --2 - 禁用自动签名检查?不行。v2.2+ 默认开启 GPG 校验,绕过(
--no-sigcheck)等于放弃完整性保障,CI 场景绝对禁止 - 私有仓库认证方式变化:v2 对 OAuth token 的 scope 验证更严,如果 CI 使用的是 GitHub Personal access Token,需确保勾选了
read:packages和delete:packages - 最稳妥做法:在 CI 镜像里预装指定版本的 Composer,并用
hash -d composer清除 shell 缓存,避免 PATH 混淆
真正麻烦的从来不是“怎么升”,而是升完发现项目里某处 require-dev 写了个带空格的包名、或者 composer.json 里用了已被废弃的 archive 字段——这些细节 v1 忽略,v2 直接报错。升级前花两分钟跑一遍 composer validate,比升完 debug 两小时强。