composer如何检测循环引用导致的死锁？（依赖图分析工具）

composer install卡住是因循环依赖导致求解器无限回溯，典型表现为cpu飙升、内存增长、无响应；需用composer show -t –no-dev –ignore-platform-reqs排查，或composer-require-checker –with-dependencies定位环，最终以composer.lock为准确认依赖关系。

composer install 时卡住不动，大概率是循环依赖触发了递归死锁

Composer 本身不报错也不退出，只是 CPU 占用飙升、内存持续增长、终端无响应——这是典型的依赖图中存在 package-a → package-b → package-a 类型的强循环引用。它不会抛出 "circular dependency" 错误，因为 Composer 的依赖解析器（Solver）在构建约束图时陷入无限回溯。

真正的问题不是“找不到包”，而是求解器在尝试满足所有 require 约束时，反复切换两个包的版本组合却始终无法收敛。

• 常见诱因：package-a require package-b:^2.0，而 package-b 的 composer.json 中又 require package-a:dev-main 或 package-a:^1.5（且该版本范围与 a 的约束重叠）
• 注意：软循环（如通过 require-dev 引入，且未启用 --no-dev）也可能触发，尤其在 CI 中使用 composer install --no-interaction 时更难察觉
• Composer 2.2+ 默认启用 SAT 求解器，比旧版回溯更快暴露死锁，但依然不打印循环路径

用 composer show -t 查依赖树，但得加 –no-dev 和 –ignore-platform-reqs 才能逼近真实安装路径

composer show -t 是唯一内置的轻量级依赖图观察工具，但它默认包含 require-dev 和跳过平台检查，容易掩盖真实冲突点。死锁往往藏在“生产环境实际会加载的子图”里。

执行以下命令才能模拟 composer install 的真实解析上下文：

composer show -t --no-dev --ignore-platform-reqs

然后人工扫描输出中反复出现的包名组合，比如看到：

├── vendor/a/package-a v1.3.0 │   └── vendor/b/package-b ^2.1 └── vendor/b/package-b v2.1.0     └── vendor/a/package-a ^1.2

这就是强循环信号。注意：如果某包被多次展开（如 package-a 在树中出现 3 次以上），且每次引入路径都不同，也值得怀疑。

• 别信 composer validate：它只校验 JSON 格式和字段合法性，完全不检查依赖逻辑
• composer depends <package></package> 只查直接上游，对间接循环无效
• windows 下 cmd 可能截断长树输出，建议用 PowerShell 或加 | more

用 composer-require-checker 配合自定义规则临时检测循环引用

composer-require-checker 本意是查未声明的运行时依赖，但它的图分析能力可被“借用”：当开启 --with-dependencies 并禁用自动 autoload 探测后，它会构建一个简化依赖图，并在遇到环时直接 panic 报错。

步骤如下：

• 安装：

  composer global require maglnet/composer-require-checker

• 生成最小配置 require-checker.json，关掉所有非图分析功能：

  {   "autoload-directories": [],   "autoload-files": [],   "scan-all-dependencies": true,   "ignore-autoload-errors": true,   "extra-extensions": [] }

• 运行：

  composer-require-checker --config-file=require-checker.json --with-dependencies

若存在循环，你会看到类似错误：Uncaught Exception: Circular dependency detected between "a/package-a" and "b/package-b"。这是目前最接近“开箱即用”的循环定位方式。

注意：它不支持 Composer 2 的插件式依赖解析器，所以对使用 composer-plugin-api 动态修改依赖的项目无效。

手动拆解 composer.lock 的 requires 字段是最终确认手段

当所有工具都沉默，composer.lock 就是最权威的证据源。它记录了 Solver 实际选中的每个包及其 requires 列表，不含任何推测。

打开 composer.lock，搜索目标可疑包（如 "name": "a/package-a"），找到其 requires 块；再顺藤摸瓜查被 require 的包是否反过来 require 它。

• 重点看 requires 中的版本约束字符串，不是 installed version：例如 "a/package-a": "^1.2" 比 "a/package-a": "1.3.0" 更危险，因为它允许 Solver 后续回退到其他版本继续试探
• 如果发现 A require B，B require C，C require A，那就是三元环——比二元环更难人工识别，必须逐层翻 lock 文件
• 不要直接删 vendor/ 或 composer.lock 来“试试看”：这会让 Solver 从头开始，可能卡在另一个环上，浪费时间

循环依赖的本质不是语法错误，而是约束系统无解。最稳妥的做法，是让其中一个包把对方的依赖降级为 require-dev 或彻底移除，哪怕要改一两行代码——毕竟自动工具只能帮你定位，不能替你做架构决策。