abandoned 是警告而非错误,表示包已被废弃但 composer 仍会安装;需检查是否直接或间接依赖、运行测试确认使用情况,再按推荐替代包迁移并调整代码;压制警告仅限短期过渡,长期应通过 CI 扫描和订阅更新提前防控风险。
Composer install/update 时提示 abandoned 包怎么办
abandoned 不是错误,只是警告,说明该包已被作者标记为废弃,不再维护。Composer 仍会安装,但后续可能有安全或兼容性风险。
常见提示形如:The package foo/bar is abandoned, you should avoid using it. Use baz/qux instead.
- 先确认是否真的在用它:检查
composer.json的require或require-dev,看是否直接声明了该包 - 如果没直接写,可能是某个依赖的子依赖(transitive dependency),用
composer depends foo/bar查谁拉进了它 - 别急着删——先跑测试,确认该包是否被实际加载或调用(比如通过
class_exists()或运行时反射)
替换 abandoned 包的实操步骤
替换不是简单改个名字,得兼顾接口兼容性和行为一致性。
- 仔细读废弃提示里的推荐替代包(如
Use baz/qux instead),访问其 README,确认是否提供迁移指南或 BC layer - 若替代包是 major 版本升级(如从 v1 → v3),优先查其
UPGRADE.md或 CHANGELOG,重点关注构造函数、方法签名、返回类型变化 - 用
composer require --update-with-dependencies baz/qux:^3.0安装新包,同时加--dry-run预览冲突 - 若原包被多处引用(如自定义封装类、配置文件里硬编码类名),替换后需全局搜索
FooBar*并逐个调整
临时压制 abandoned 警告的边界情况
压制只是隐藏提示,不解决实质问题,仅限极短期过渡(如等下游依赖升级)。
- 用
composer install --no-abandoned或composer update --no-abandoned跳过提示(但不会阻止安装) - 不建议在 CI 中加这个 flag——掩盖问题比解决问题更容易出事
-
composer.json里没有官方配置项能永久关闭 abandoned 提示;所谓 “禁用” 都是 hack(如重写 vendor/composer/installed.json),不可取
长期维护中怎么提前发现 abandoned 风险
靠人工盯更新不现实,得嵌入流程。
- 把
composer show --outdated --direct加进 CI 检查,配合grep abandoned做关键词扫描(需解析输出,注意 Composer 2.5+ 输出格式有变) - 定期跑
composer outdated --format=json,提取abandoned字段生成报告 - 对核心业务依赖,订阅其 gitHub release 或 Packagist RSS,尤其关注作者是否归档仓库、是否转交维护权
abandoned 最麻烦的不是装不上,而是某天突然一个 patch 版本修复不了的 bug,或者 php 新版本导致运行时报错——那时再找替代方案,往往要改三四个层的胶水代码。