composer如何只更新开发环境的依赖

答案：通过composer update更新所有依赖，开发环境可灵活升级，生产环境用composer install --no-dev确保稳定。

当你问到“composer如何只更新开发环境的依赖”时，这背后其实藏着一个很有意思的思考：我们既想保持生产环境的稳定，又想在开发时拥有最新的工具和库。Composer本身并没有一个“只更新require-dev”的魔法开关，因为依赖关系盘根错节，开发依赖往往也依赖于核心的生产依赖。但别担心，我们完全有办法在开发流程中，以一种清晰且可控的方式，确保你的开发工具和库始终保持最新状态，同时避免不必要的生产环境风险。

解决方案

在开发环境中，最直接、也是最常用的策略就是直接运行

composer update

composer.json

require

require-dev

如果你有更细致的需求，比如只想更新某个特定的开发依赖包，你可以这样操作：

composer update vendor/package

例如，如果你只想更新

phpunit/phpunit

composer update phpunit/phpunit

--dev

composer.json

为什么Composer没有一个“只更新开发依赖”的独立命令？

这确实是一个值得深思的问题。想象一下，如果Composer有一个

--only-dev

require-dev

require

require-dev

require

require

Composer 的核心是一个依赖解析器。它需要一个完整的依赖图来确保所有约束都能被满足。如果你只更新图的一部分，很可能会导致开发依赖无法满足其对生产依赖的版本要求，从而产生冲突或一个不完整的

composer.lock

phpunit

symfony/yaml

symfony/yaml

require

phpunit

symfony/yaml

phpunit

所以，Composer 采取的策略是，当你运行

composer update

composer update --dev

composer install --no-dev

依图语音开放平台

依图语音开放平台

6

查看详情

如何在CI/CD流程中区分生产与开发环境的依赖更新？

在持续集成/持续部署（CI/CD）流程中，我们对依赖的管理会更加严格和明确，这是区分生产与开发依赖更新的关键环节。

生产环境部署（或构建生产镜像）： 在生产环境中，我们的目标是稳定、最小化包体积和最快的加载速度。因此，我们绝不应该运行

composer update

composer install --no-dev --optimize-autoloader --no-interaction --prefer-dist

• composer install

  登录后复制
  ：这个命令会根据

  composer.lock

  登录后复制
  文件来安装精确版本的依赖，确保生产环境与开发时锁定版本一致。

• --no-dev

  登录后复制
  ：这是核心，它会告诉 Composer 不要安装

  require-dev

  登录后复制
  中的任何包，只安装生产所需的依赖。这能有效减小部署包的体积，并避免不必要的开发工具进入生产环境。

• --optimize-autoloader

  登录后复制
  ：为生产环境优化自动加载器，提高性能。

• --no-interaction

  登录后复制
  ：在自动化脚本中禁用任何交互式提示。

• --prefer-dist

  登录后复制
  ：优先从分发包（通常是ZIP文件）安装，而不是从源代码仓库克隆，速度更快。

开发环境/CI测试环境： 在开发环境或CI的测试阶段，我们通常需要所有依赖，包括开发工具。

• 如果你的

  composer.lock

  登录后复制
  文件已经是最新的，并且包含了所有开发依赖，那么直接运行

  composer install

  登录后复制
  即可。这会根据

  composer.lock

  登录后复制
  安装所有（包括开发）依赖。
• 如果你需要更新

  composer.lock

  登录后复制
  文件，例如

  composer.json

  登录后复制
  中的版本约束发生了变化，或者你想获取依赖的最新兼容版本，那么就运行

  composer update

  登录后复制
  。
• 在某些CI流程中，为了确保测试环境与开发环境保持一致，也会定期运行

  composer update

  登录后复制
  来更新

  composer.lock

  登录后复制
  文件，并将其提交到版本控制中。

核心思想是，

composer.lock

composer update

频繁更新开发依赖可能带来哪些挑战，又该如何应对？

虽然保持开发依赖的最新状态有很多好处，比如能及时获得新功能、性能优化和安全补丁，但过于频繁或不加思考的更新也可能带来一些挑战。

挑战：

1. 潜在的兼容性问题： 新版本的开发工具（例如PHPUnit、PHP_CodeSniffer）可能引入了不兼容的变更，导致你的测试代码、CI脚本或开发工作流出现问题。这尤其在主版本更新时更常见。
2. CI/CD 构建时间增加： 每次更新都可能需要下载新的包，如果CI/CD流程中没有良好的缓存机制，这会增加构建时间。
3. 依赖冲突解决： 随着项目依赖的增多，更新某个开发依赖时，它可能与其他生产依赖或另一个开发依赖产生版本冲突，导致

   composer update

   登录后复制
   失败或需要手动解决。
4. 不必要的变动： 有时，更新只是为了更新，并没有带来实际的业务价值，反而增加了潜在的风险。

应对策略：

1. 版本约束的精细化管理： 在

   composer.json

   登录后复制
   中，不要盲目使用

   *

   登录后复制
   或过于宽松的版本约束。合理使用

   ^

   登录后复制
   (兼容性版本) 或

   ~

   登录后复制
   (次要版本兼容) 可以让你在获取新功能和保持稳定性之间找到平衡。例如，

   "phpunit/phpunit": "^9.5"

   登录后复制
   意味着你可以获得 9.x 系列的最新补丁和次要版本，但不会自动升级到 10.x 这种可能引入重大变更的版本。
2. 自动化测试的保障： 这是应对依赖更新风险的基石。在每次更新开发依赖后，立即运行完整的单元测试、集成测试和静态分析，确保代码行为没有被破坏。如果测试通过，你就可以更放心地接受更新。
3. 增量更新与定期审查： 避免一次性更新所有开发依赖。你可以选择定期（例如每月或每季度）审查并更新关键的开发依赖，或者在需要某个新功能时，针对性地更新相关依赖。

   composer outdated --dev

   登录后复制
   命令可以帮助你清晰地看到哪些开发依赖有新版本可用。
4. 利用工具辅助决策：

   • composer outdated --dev

     登录后复制
     ：查看所有可更新的开发依赖。

   • composer why-not vendor/package version

     登录后复制
     ：了解为什么某个包无法升级到特定版本，这有助于解决冲突。
   • 在更新前，仔细阅读即将更新包的发行说明（Release Notes），了解是否有重大变更。

通过这些策略，你就能在享受最新开发工具带来的便利与效率的同时，有效规避潜在的风险，让你的开发工作流更加顺畅和可控。

以上就是composer如何只更新开发环境的依赖的详细内容，更多请关注php中文网其它相关文章！