Composer怎么查看依赖树_Composer依赖关系分析方法【详解】

Composer依赖关系分析：从命令行到可视化，一次讲透

composer show -t 是当前最稳的依赖树命令，别再用 --tree

如果你还在用 composer show --tree，那可得注意了。从 Composer 2.0 开始，--tree 这个长参数就已经被统一为短参数 -t。尤其是在 2.2+ 版本里，强行使用 --tree 会直接报错 Unrecognized option "--tree"。所以，现在最稳妥、无需安装任何插件、也不用改配置的命令，就是 composer show -t。

不过，这个命令有个关键点：必须指定一个包名，哪怕是指向当前项目本身。否则，你会遇到 Not enough arguments 的错误。具体用法可以这么记：

• composer show -t .：查看整个项目的完整依赖树，这里的点号就代表当前项目。
• composer show -t guzzlehttp/guzzle：只展开这个特定包及其下游的所有依赖。
• 想排除开发依赖？注意顺序：--no-dev 必须放在 -t 前面。所以 composer show --no-dev -t . 才是正确写法，反过来就会无效。

看输出结果时，要留意带括号的版本号，比如 [dev-master] 或 [7.8.1]。这表示你实际安装的版本，而不是 composer.json 里写的版本约束。如果你发现安装了 v6.5.8，但你的约束写的是 "^7.0"，那基本可以断定，是项目里其他包强制把它降级了。

查“谁依赖了这个包”，用 composer show --who，不是 depends

想搞清楚是哪个包引入了某个依赖？很多人会想到 composer depends，但这个命令在 2.4+ 版本默认是关闭的实验性功能。更麻烦的是，一旦遇到 provide、replace 或者本地 path 仓库这类情况，它很容易漏判。

相比之下，composer show --who psr/log 就直白多了。它直接扫描所有已安装包的 require 和 require-dev 字段，干净利落，结果确定，不绕弯子。

但有一点必须注意：它只显示“直接声明者”。

• 假设依赖链是 A → B → C，那么查询 C 时，结果只会列出 B，不会继续追溯到 A。
• 你可以加上 --no-dev 来过滤掉开发依赖：composer show --who --no-dev psr/log。
• 如果查询结果为空，并不一定代表没人用。有可能是通过虚拟包（例如 psr/log-implementation）间接提供的。这时候，就该回头去用 composer show -t . 看看全局依赖结构了。

想溯源到自己写的 require，必须加 --tree

composer why monolog/monolog 这个命令，默认只返回直接依赖者，比如告诉你来自 lara vel/framework。但开发者真正想知道的往往是：“我自己的 composer.json 里，到底是哪一行引入了它？” 这时候，如果不用 --tree 选项，查了等于白查。

正确的用法是：

• composer why --tree monolog/monolog：只有当输出结果的末尾出现了类似 your-project-name dev-main 这样的条目，才说明源头是你自己在 require 里声明的。
• 如果条目后面带着 [dev] 标记，那就说明它来自 require-dev。
• 如果依赖树在某一层（比如 lara vel/framework）就中断了，那大概率是因为这一层包使用了 provide 声明了虚拟包，导致 Composer 没有继续向下解析。

纯文本树不够用？可视化得靠 dot + composer-graph

当项目依赖嵌套很深、关系复杂时，composer show -t 输出的纯文本简直让人眼花缭乱。真想看清包与包之间的交叉引用、冲突源头和完整调用链路，还得靠图形化方案。

具体做法是，先安装 baethon/composer-graph 插件，然后运行 composer graph。但这里有个前提：你的本地环境必须有 dot 命令（由 Graphviz 软件提供），否则会报错 Dot command not found。不同系统的安装方式如下：

• Mac 用户：通过 Homebrew 安装：brew install graphviz。
• Ubuntu/Debian 用户：sudo apt-get install graphviz。
• Windows 用户：需要手动下载 Graphviz 安装包，并把 dot.exe 所在的目录添加到系统的 PATH 环境变量中。

安装好插件后，首次运行 composer graph 默认会生成一张 dependency-graph.png 图片。你还可以使用 --format svg 等选项来指定输出格式。

最后需要提醒的是，图形化也不是万能的。它展示的其实是 composer.lock 文件的快照状态，反映的是依赖关系，而不是实际的代码调用关系。另外，如果你的 vendor/ 目录是空的，或者 composer.lock 文件缺失，那图是肯定画不出来的——这一点，恰恰是最容易被忽略的前置条件。