Composer update和install的区别是什么

Composer update和install的区别是什么

一句话说透核心区别：composer install 是严格按图索骥，它只认 composer.lock 文件里记录的版本和哈希，原封不动地安装，绝不节外生枝。而 composer update 则是重新开处方，它会忽略现有的锁文件，联网查询最新版本，重新计算依赖关系，升级包版本，并强制生成一份新的 composer.lock。搞混这两者，往往是项目依赖混乱的开始。

为什么 composer install 在 CI/CD 和生产环境必须用

原因很简单：追求确定性与速度。在 CI/CD 流水线或生产服务器上，composer install 跳过复杂的依赖解析，直接根据锁文件中精确的版本、哈希和源地址批量下载，整个过程又快又稳。只要团队把 composer.lock 提交到了 Git 仓库，那么从开发者的笔记本到线上服务器，安装出来的 vendor/ 目录内容将是完全一致的，这就从根本上杜绝了“在我机器上是好的”这类问题。

• 当然，如果项目里压根没有 composer.lock 文件，install 命令会退一步，去解析 composer.json 并生成一份新的锁文件。但这通常只应该发生在项目初始化的那一刻。
• 在生产环境，加上 --no-dev 参数是标准操作，它只关乎是否安装开发依赖，并不改变 install 命令“严格遵从锁文件”的核心行为。
• 这里有个必须警惕的陷阱：万一在线上误执行了 update，很可能因为网络波动、平台配置不匹配，或者新版本存在破坏性更新，直接导致部署失败，服务中断。

composer update 什么时候才该运行

这个命令的本质是“依赖关系求解器”。它会忽略现有的锁文件，联网检查所有包的最新可用版本，然后运行一个复杂的 SAT 求解器，找出能满足 composer.json 中所有约束条件（比如 ^2.1、dev-main，或者指定的 PHP 版本范围）的最新版本组合。最后，下载、安装，并写入一份全新的 composer.lock。

• 所以，它的使用场景非常明确：当你确实需要升级依赖包的时候。比如，为了引入某个新功能或修复安全漏洞。这时，最好指定包名来精确升级，例如 composer update vendor/package，避免触发全局依赖重算。通过 --with-dependencies 参数，你还能控制是否连带更新其子依赖。
• 在应用安全补丁前，一个很好的习惯是先跑一遍 composer update --dry-run。这个“演习”能让你清清楚楚地看到，哪些包会被动、会升级到什么版本，做到心中有数再操作。
• 如果升级 PHP 版本后执行 update 失败了，别急着怀疑人生。大概率是项目配置里的 config.platform.php 还锁在旧版本，先把这处配置改过来，问题往往就迎刃而解了。

composer.lock 不提交到 Git 就等于放弃一致性

这是很多团队容易踩的坑。必须明确：composer.lock 是 Composer 实现可重现构建的唯一凭证。如果你在 .gitignore 里把它忽略了，那就等于主动放弃了依赖的一致性。每一次 composer install 都会变成一次“随机快照”——哪怕 composer.json 里写着 ^2.10，今天安装的可能是 monolog/monolog v2.10.0，明天就可能是 v2.11.1，潜在的兼容性问题就此埋下。

• 想象一下，团队新成员克隆项目后，第一件事就是运行 composer install。这个操作能成功且结果一致的前提，正是 composer.lock 已经躺在仓库里了。
• 反过来，任何人在本地执行了 composer update 后，必须立刻将新的 composer.lock 文件提交到 Git。否则，其他人的下一次 install 拉取的还是过时的旧版本，协作立刻脱节。
• 在 CI 流水线里，一个最佳实践是设置检查：如果发现 composer.lock 被修改了却没有对应的提交，流水线应该直接报错并阻断，而不是自作主张地帮你提交。

最后，提一个最容易被误解的点：不少人潜意识里觉得 install 会“智能地”检查并同步到最新版本。其实完全不是这样。只要锁文件存在，install 就会无条件信任并执行它，从不检查远程仓库是否有更新。依赖是否“过期”，只能靠开发者主动运行 update 来发现和验证。这才是理解这两个命令分工的关键所在。