生产环境执行 composer install 必须加 –no-dev 参数,否则会安装 phpunit 等 dev 依赖,导致体积膨胀、兼容性问题及运行时类找不到;该参数还跳过 autoload-dev、@dev 脚本和 dev 插件,且不可依赖环境变量或 composer.json 动态配置。
composer install 为什么还在装 dev 依赖?
生产环境执行 composer install 却装了 phpunit、mockery、larastan 这类包,说明没加 --no-dev。Composer 默认行为是“按 composer.json 里写的全装”,不管当前是不是线上——它不自动识别环境。
常见错误现象:composer install 后 vendor/ 体积暴涨、部署时间变长、甚至因 dev 包的 PHP 版本要求导致安装失败(比如本地用 PHP 8.2 开发,但线上是 8.1,而某个 dev 包声明只支持 8.2+)。
- 必须显式传参:
composer install --no-dev,这是最直接、最可靠的写法 - 不要依赖
COMPOSER_NO_DEV=1环境变量——它只在某些旧版本 Composer 中有效,且容易被 CI/CD 脚本覆盖或遗漏 - CI/CD 部署脚本里务必检查是否漏掉该参数,尤其当使用封装好的部署命令(如自定义 shell 函数或 Makefile)时
composer install –no-dev 会跳过哪些东西?
--no-dev 不只是删掉 require-dev 下的包,它还连锁影响三件事:自动加载规则、脚本执行、插件激活。
使用场景:你上线前跑单元测试没问题,但上线后发现 AppProvidersTestHelperServiceProvider 报错 class not found——因为这个服务提供者只在 require-dev 的包里注册,而 --no-dev 导致其所在包根本没装,连带它的自动加载规则也消失了。
- 跳过
require-dev所有包及其依赖(递归) - 跳过
autoload-dev定义的命名空间和文件路径(所以测试辅助类、假数据工厂类等不会进autoload_classmap.php) - 跳过
scripts中标记为@dev的钩子,以及所有依赖 dev 包的脚本(比如post-autoload-dump里调用了phpstan就会静默失败)
能不能让 composer.json 自动区分环境?
不能。Composer 没有内置的“环境模式”概念,composer.json 是静态配置文件,不会根据服务器 hostname 或 APP_ENV 变量动态切换依赖列表。
有人试过用 config.platform 或条件 require(如 "ext-pcntl": "self.version"),但这解决不了核心问题:dev 依赖必须物理不存在于生产 vendor 目录里,否则就违背了隔离原则。
- 别在
composer.json里写条件判断逻辑(比如用 env var 控制 require 字段),Composer 不解析这些 - 如果真需要差异化依赖,应拆成两个独立项目,或用 Composer 的
replace+ 自定义 repo 控制包可见性,但成本远高于加个--no-dev - 更现实的做法:把
--no-dev当作部署流程的硬性守门员,写死在部署脚本第一行
缓存和 vendor 重用带来的陷阱
很多团队为了提速,在 CI 中缓存 vendor/ 或用 --prefer-dist 加速下载,但忽略了一个关键点:缓存的 vendor 是否包含 dev 包?缓存命中的前提是 composer.lock 和安装参数完全一致。
典型翻车场景:CI 流水线先跑测试(装了 dev 包),再打包镜像时复用同一份 vendor,结果线上容器里多出一堆不该存在的类和命令(比如 php artisan test 在生产环境也能执行)。
- CI 中测试阶段用
composer install,部署阶段必须用composer install --no-dev,且两者不能共享 vendor 缓存目录 - 推荐做法:CI 分两步,第一步
composer install --no-interaction(用于测试),第二步清空 vendor 后再composer install --no-dev --no-interaction --optimize-autoloader -
--optimize-autoloader必须跟--no-dev一起用,否则优化后的 autoloader 仍会包含已删除的 dev 类路径,导致运行时报错
真正麻烦的不是记不住参数,而是不同角色(开发、运维、CI 工程师)对“一次 install 到底装什么”没有统一预期。只要部署命令里漏掉 --no-dev,前面所有优化都白搭。