如何在Composer中管理生产环境的依赖锁定

生产环境必须使用 composer install 并严格依赖已提交的 composer.lock 文件，禁用 composer update；需强制 --no-dev、验证 lock 一致性、适配 PHP 版本变更。

在生产环境中，依赖版本必须被锁定。这背后的逻辑很简单：如果不用锁定的版本，composer install 就有可能拉取到不兼容的新补丁或次要版本，从而导致运行时行为发生不可预知的变化。问题的关键从来不是“要不要锁”，而是“锁得是否可靠，以及部署时是否真正用上了这把锁”。

为什么 composer install 才真正读取 composer.lock

这里有个常见的误区。composer require 或 composer update 确实会改写 composer.lock 文件，但这两个操作本就不该在生产环境执行。真正为生产部署而生的命令是 composer install，它会严格依据 composer.lock 文件来安装依赖，完全跳过版本解析的步骤——这才是唯一安全的操作。

• 在 CI/CD 流水线中，构建阶段的标准操作应该是：composer install --no-dev --optimize-autoloader。这确保了只安装生产依赖，并且生成高效的自动加载器。
• 如果本地开发后忘记提交 composer.lock 文件，那么在生产服务器上运行 composer install 会退化成 composer update 的行为（并生成一个新的 lock 文件），这无疑是极其危险的。
• 当 composer install 发现 composer.lock 和 composer.json 内容不一致时，它会明确报错：Your lock file does not contain a compatible set of packages。遇到这种情况，正确的做法是先修复一致性问题，再进行部署，绝不能强行忽略。

--no-dev 不是可选开关，是生产环境硬性要求

把开发依赖装到生产环境，可不仅仅是浪费点磁盘和内存那么简单。像 phpunit、lara vel/pint 这类工具包，还可能引入意料之外的自动加载路径，甚至引发运行时类冲突。

• --no-dev 这个参数的作用很彻底：它会将 autoload-dev 和 require-dev 中定义的包完全排除，连它们的 autoload 配置都不会被注册。
• 有些包（例如 symfony/var-dumper）在开发模式下会注册全局函数（比如 dump()）。如果这些包残留在生产环境，就可能引发 Function already defined 这类致命错误。
• 需要警惕的是，不要试图用 "minimum-stability": "stable" 或 "prefer-stable": true 这类配置来替代 --no-dev。它们控制的是版本选择策略，而非安装范围。

CI 构建时必须验证 lock 文件是否最新

开发者提交代码时忘记 git add composer.lock，是一个高频发生的事故点。仅靠人工代码审查很难发现，必须通过自动化流程来拦截。

• 一个有效的方法是在 CI 的测试阶段末尾，加入检查命令：composer update --dry-run --no-interaction && git status --porcelain composer.lock | grep -q '^??' && echo "ERROR: composer.lock not committed" && exit 1 || exit 0。
• 更稳妥的做法是：让 CI 先运行 composer install，再执行 git diff --quiet composer.lock。如果发现有差异，就让构建失败——这直接说明本地的 lock 文件没有同步到仓库。
• 这里有一条红线：绝对禁止在生产服务器上运行 composer update。即使加上了 --with-dependencies 或指定了具体的包名，也都违背了不可变部署的基本原则。

最后，还有一个最容易被忽略的细节：PHP 版本本身的变更，会间接导致 composer.lock 失效。举个例子，当服务器从 PHP 8.1 升级到 8.2 后，某些依赖包的 platform-check 或 conflict 规则可能会被触发，从而需要重新解析依赖。此时，composer install 会拒绝执行并提示类似 Your platform settings require ... but you ha ve ... 的错误。正确的处理方式是在目标 PHP 版本下重新生成 lock 文件，而不是想方设法绕过检查。这才是保证部署一致性的关键所在。