想知道项目装了哪些具体版本？Composer show命令让你对依赖了如指掌

想知道项目装了哪些具体版本？Composer show命令让你对依赖了如指掌

直接运行 composer show，就能快速浏览所有已安装的包。不过，默认输出只列出包名，想看到精确的版本号，还得加上对应的参数才行。

只看顶层依赖（你手动 require 的那些）

当你只想关注自己亲手引入的那些库时，composer show --direct 就是最佳选择。这个命令会过滤掉所有传递依赖，只呈现 composer.json 里 require 和 require-dev 区块中明确声明的包。这里有个细节：即便某个包被多个顶层依赖间接需要（比如好几个库都依赖 psr/log），它在结果中也只会出现一次。

• 这个命令非常适合快速核对项目是否引入了预期的主库，比如确认 lara vel/framework 是不是你想要的 v10.48.12。
• 它不会展示这些包自身又依赖了谁，想了解完整的依赖链条，就得去掉 --direct 参数。
• 另外要注意，如果某个包写在 require-dev 里，但实际并未安装（例如被 autoload-dev 配置排除），它同样不会出现在结果中。

查某个具体包的详细信息和依赖关系

想深入了解某个特定包？试试 composer show vendor/package-name，比如 composer show monolog/monolog。这个命令会展示该包的当前安装版本、描述、主页、源码地址，以及它直接依赖了哪些其他包（也就是它的 require 列表）。

• 版本号通常显示在第二行，格式类似 versions : * 3.5.0，其中的 * 就代表当前锁定的版本。
• 如果指定的包并未安装（可能因为被 replace 或 conflict 规则排除了），命令会直接报错：Package monolog/monolog not found。
• 需要注意的是，它只展示直接依赖，不会递归展开。也就是说，你能看到 monolog/monolog 依赖 psr/log，但不会自动显示 psr/log 又依赖了谁。

显示完整依赖树（含嵌套层级和版本冲突提示）

要看清整个依赖森林的全貌，就得祭出 composer show -t 了。它会以清晰的树形缩进结构，展示所有已安装的包，并标明每个包的实际安装版本。如果出现某个包被多个上级依赖要求不同版本的情况，Composer 会尝试统一；实在无法调和时，会在对应位置标记 (conflict) 并停止输出。

• 缩进层级越深，代表依赖关系越深入。最顶层是你的项目，下一级是你显式引入的包，再往下就是这些包的依赖，层层嵌套。
• 同一个包可能会在不同分支下重复出现（例如 symfony/polyfill-php81 同时被 symfony/console 和 guzzlehttp/guzzle 依赖），但最终只会安装一个版本。
• 如果发现某行末尾带有 (dev-main) 或 (dev-develop) 这样的标记，那就说明这个包是从版本控制仓库直接拉取的开发分支，而非稳定的发布版本。

为什么 composer show 不显示本地路径或软链接包？

当你使用 path 类型的仓库（例如在 composer.json 中配置 "repositories": [{"type": "path", "url": "../local-package"}] 并引入 "my/local-package": "*" @dev）时，composer show 默认只会显示包名和版本号（通常是 dev-main），而不会透露其真实的本地路径。想确认一个包是否链接到本地，得去查看 composer.lock 文件中对应包的 source 字段，或者运行 composer show -v vendor/package 来获取详细的元数据。

• 加上 -v（verbose）参数后，命令会输出 source.type 和 source.url。如果是 path 类型，url 就会是本地绝对路径。
• 如果包是通过 satis 或私有 Packagist 镜像安装的，那么 source.url 显示的很可能是 HTTP 地址，而不是常见的 git@ 或 https:// 源码仓库地址。
• 最后提醒一点：别完全依赖 composer show 的结果来判断一个包是否“真正生效”。有些包可能仅用于 autoload-dev，在生产环境中根本不会被加载，但它们依然会出现在 show 的列表里。

真正容易被忽略的一个陷阱是：Composer 显示的版本号信息基于 composer.lock 文件，而不是 vendor/ 目录里的实际文件内容。如果你手动删除了某个包但没有运行 update，show 命令依然会按照 lock 文件的内容报告“已安装”，但实际上文件可能已经缺失了。