composer outdated 列出已安装且存在满足当前版本约束的新稳定版(或预发布版,若加–all)的依赖包;不显示最新版、超约束版或仅预发布版。
composer outdated 用来列出当前项目中所有**已安装但存在更新版本的依赖包**,不修改 composer.json 或 vendor/,纯检查用途。
哪些包会被列出来?
默认只显示「有新版本、且满足当前 composer.json 中版本约束」的包。比如你的 "monolog/monolog": "^2.8" 已装 2.8.0,而 2.9.0 已发布且兼容 ^2.8,它就会出现在结果里。
以下情况不会出现:
- 已装最新稳定版(如约束是
^3.0,当前装了3.0.2,而最新是3.0.2) - 新版本超出当前约束范围(如约束是
^2.8,3.0.0发布了,但不满足^2.8) - 仅预发布版本可用(如只有
3.1.0-beta1),除非加--all
怎么看出该不该升级?
输出每行包含四列:包名|已安装版本|最新匹配版本|版本类型(stable / RC / beta 等)。关键看第三列是否为 stable,以及和第二列的语义差异:
-
symfony/console v5.4.21 → v5.4.32:小版本更新,通常安全,含 bug 修复 -
laravel/framework v10.10.0 → v11.0.0:主版本跃迁,大概率有 breaking change,不能直接update -
phpunit/phpunit 9.5.26 → 10.5.0 (stable):主版本变更,需确认测试套件兼容性
注意:它不分析实际代码是否调用了可能被移除的 API,只做版本号层面的匹配判断。
常用参数组合与陷阱
默认输出较宽,容易漏读。建议搭配这些参数用:
-
composer outdated --direct:只看composer.json里直接声明的包(忽略递归依赖),适合聚焦维护重点 -
composer outdated --minor-only:只显示同主版本内的更新(如2.8.x → 2.9.x),跳过2.x → 3.x -
composer outdated --outdated:强制刷新本地元数据(避免缓存导致漏报) -
composer outdated --format=json:输出 JSON,方便脚本解析(CI 中自动告警常用)
⚠️ 容易踩的坑:outdated 不检查 PHP 或扩展版本兼容性。比如某包新版本要求 php >= 8.2,而你还在用 8.1,它仍会显示“可更新”,但后续 composer update 会失败。
和 update 的关系是什么?
outdated 是只读检查,update 是写操作。运行 composer update vendor/package 时,Composer 实际执行的逻辑和 outdated 的判断基本一致——都是找满足约束的最新可用版本。但区别在于:
-
outdated基于当前composer.lock和远程仓库元数据比对 -
update会重新解析依赖图、执行安装、写入新lock文件 - 即使
outdated没列出某个包,update仍可能升级它(比如它的子依赖升级触发了重新计算)
所以别把 outdated 当升级清单,它只是起点。真正要升级前,得看 CHANGELOG、跑测试、查 BC Break 文档。