composer如何查看某个包的详细依赖关系图_composer depends用法【实战】

composer depends 查不到包是因为包名必须精确匹配，包括大小写和连字符；需用 composer show 列出已安装包并复制完整名称，或通过 composer search 查未安装包。

composer depends 查不到包？先确认包名是否精确匹配

直接运行 composer depends vendor/package-name 报错 “Package not found” 是最常见问题。Composer 不支持模糊搜索或别名，vendor/package-name 必须和 composer.json 中声明的完全一致（包括大小写、连字符）。比如你想查 monolog/monolog，但写成 monolog 或 Monolog/monolog 都会失败。

实操建议：

• 用 composer show 列出已安装包，复制完整名称（例如 symfony/console）
• 若不确定是否已安装，加 --tree 参数可显示所有依赖层级：composer show --tree
• 想查未安装但可被依赖的包？composer depends 无此能力，需改用 composer search 或访问 packagist.org

composer depends –tree 显示的是“谁依赖我”，不是“我依赖谁”

composer depends 的核心逻辑是反向依赖分析：它回答“当前项目中哪些包把目标包作为依赖引入”。这和 composer show --tree 的正向树形展示（从 root 往下展开）完全不同。比如执行 composer depends symfony/Event-dispatcher，输出的是类似：

myapp/myproject └── symfony/console v6.4.0     └── symfony/event-dispatcher v6.4.0

说明 symfony/console 直接依赖了它，而你的项目又依赖了 symfony/console。

注意点：

• 默认只显示直接依赖链，不会列出间接传递依赖（如 A→B→C，但 C 没有被 A 显式 require）
• 如果目标包是 root 项目自身 require 的，composer depends 会显示 myapp/myproject 作为顶层节点
• 加 -t（即 --tree）才会展开层级；不加则只列一级依赖包名

如何看到某个包被哪些版本组合间接引用？

Composer 默认不显示版本冲突或隐式约束来源，但 composer depends 可配合 --why（简写 -w）揭示具体 require 规则。例如：

composer depends -w guzzlehttp/psr7

可能输出：

myapp/myproject  requires  guzzlehttp/guzzle (^7.2) guzzlehttp/guzzle  requires  guzzlehttp/psr7 (^1.8 || ^2.0)

这意味着：你项目要求 guzzlehttp/guzzle，而它的 composer.json 声明了对 guzzlehttp/psr7 的兼容范围。这就是间接引用的源头。

关键区别：

• --tree 展示结构路径
• --why 展示约束链条（require 关系 + 版本范围）
• 两者可同时使用：composer depends -t -w vendor/package，但输出较冗长，适合调试冲突

依赖图太深看不清？用 grep 或脚本过滤关键路径

大型项目跑 composer depends --tree 可能输出几十行，真正关心的只是某几个包（比如 laravel/framework 或 doctrine/dbal）。与其肉眼扫描，不如用 shell 过滤：

linux/macOS：

composer depends --tree symfony/http-kernel | grep -E "^(├|└|─|│)|symfony/"

windows PowerShell：

composer depends --tree symfony/http-kernel | Select-String "^(├|└|─|│)|symfony/"

更实用的技巧：

• 导出为文本再搜索：composer depends --tree vendor/pkg > deps.txt
• 若要统计某包被多少个顶级包引用，用 composer depends vendor/pkg | wc -l（Linux/macOS）
• 注意：所有过滤操作都基于 Composer 当前 lock 文件状态，composer update 后结果可能变化

真正容易被忽略的是：依赖图反映的是 lock 文件快照，不是实时解析。如果你刚修改了 composer.json 但没 install 或 update，depends 结果不会包含新声明的依赖。