如何让Composer在更新时跳过特定的包？ (lock命令与手动编辑)

可靠冻结包版本只能写死 require 版本号或提交 composer.lock：–without 会破坏依赖树，replace/provide 有运行时风险，手动改 lock 会导致校验失败，platform 配置和插件可能干扰冻结效果。

更新时跳过某个包：用 --with-dependencies 不行，得用 --without

Composer 默认更新全部依赖，没有“黑名单”式跳过选项。想跳过 monolog/monolog 或 laravel/framework 这类包，不能靠 composer update --with-dependencies（它反而会强制更新子依赖），必须显式排除：

• composer update --without=monolog/monolog —— 跳过该包及其所有子依赖（慎用，可能破坏依赖树）
• composer update --without=monolog/monolog --with=monolog/monolog:2.9.0 —— 先排除再精确锁定版本（绕过自动升级）
• 若包被其他依赖硬依赖（如 symfony/console 强制要求 symfony/polyfill-php81），--without 会报错退出，此时只能改 composer.json

永久跳过更新：在 composer.json 中用 "replace" 或 "provide"

对某些包（比如你自行 fork 并 patch 的 guzzlehttp/guzzle），希望 Composer 完全无视官方版本、不检查更新也不写入 composer.lock，可用 "replace" 声明已“提供”该包：

{     "replace": {         "guzzlehttp/guzzle": "*"     } }

注意："replace" 后 Composer 会认为该包已存在，不再安装或更新；但若其他包声明了 "require": {"guzzlehttp/guzzle": "^7.0"}，而你本地没装，运行时会出错——它只跳过安装逻辑，不解决运行时缺失。

更安全的做法是用 "provide"（仅声明能力，不替代安装）配合 "repositories" 指向私有源：

{     "repositories": [         {             "type": "vcs",             "url": "https://github.com/yourname/guzzle"         }     ],     "require": {         "guzzlehttp/guzzle": "dev-patched as 7.5.0"     },     "provide": {         "guzzlehttp/guzzle": "7.5.0"     } }

手动编辑 composer.lock 是高危操作

直接删掉 composer.lock 里某包的条目，或把 "version" 改成旧值，看似能“冻结”，但后果严重：

• 下次 composer install 会因哈希校验失败中止（lock file is not up to date）
• 修改后未运行 composer update --lock，会导致 vendor/ 与 lock 不一致，CI 环境可能静默失败
• 若该包被其他包的 "require" 引用，Composer 会在下次 update 时强行重装，你的修改白费

唯一合法的手动干预方式是：先用 composer update --dry-run 确认变更范围，再执行 composer update vendor/package-name --no-install（只更新 lock，不改 vendor），最后检查 diff。

composer.lock 冻结后仍被更新？检查 "platform" 和插件干扰

即使锁定了 "monolog/monolog": "2.8.0"，更新时它仍升到 2.9.0，常见原因有：

• "platform" 配置覆盖了 PHP 扩展要求，导致 Composer 选择更高兼容版本（例如设 "ext-xml": "8.2.0" 但实际是 8.1，触发降级 fallback）
• 启用了 composer-unused 或 composer-normalize 插件，它们可能在 update 后自动重写 lock
• composer.json 中该包版本约束太宽（如 "^2.0"），而 lock 文件未提交到 Git，团队成员本地生成了新 lock

验证方式：运行 composer show monolog/monolog 看当前解析版本，再对比 git status composer.lock 是否被意外修改过。

真正可靠的冻结，只有两条路：用 "require" 写死具体版本（"2.8.0" 而非 "^2.8"），或用 composer update --lock + 提交 lock 文件到版本库——别信“改完 lock 就完事”这种省事想法。