答案:composer-lock-diff 可清晰对比 PHP 项目依赖变更。通过全局安装 clue/composer-lock-diff 后,备份原 lock 文件并执行 update,再运行 composer-lock-diff composer.lock.bak composer.lock,即可查看包的增删及版本变化,支持与 Git 集成用于自动化流程。
在使用 Composer 管理 PHP 项目的依赖时,经常会遇到这样的问题:执行 composer update 后,某些包被更新、添加或移除,但很难快速判断具体变动了哪些内容。虽然 composer.lock 文件记录了确切的依赖树,但直接对比该文件的原始 diff 往往信息量大且难以阅读。这时,composer-lock-diff 就是一个非常实用的工具,能帮助你清晰、精确地查看更新前后依赖的变化。
安装 composer-lock-diff 工具
composer-lock-diff 是一个命令行工具,可通过 Composer 全局或本地安装。
推荐使用全局安装方式:
composer global require clue/composer-lock-diff确保你的 Composer 全局 bin 目录(通常是 ~/.composer/vendor/bin)已加入系统 PATH,以便可以直接运行 composer-lock-diff 命令。
使用方法:比较 lock 文件差异
该工具的核心功能是读取两个 composer.lock 文件并输出人类可读的变更摘要。
基本用法如下:
composer-lock-diff composer.lock.bak composer.lock其中:
-
composer.lock.bak是更新前的 lock 文件备份 -
composer.lock是执行composer update后生成的新 lock 文件
运行后,你会看到类似以下的输出:
+ monolog/monolog 2.3.0 → 2.4.1 + guzzlehttp/guzzle (added) - phpunit/phpunit 9.5.10 (removed)
清晰展示出版本升级、新增和删除的包。
实际操作流程建议
为了有效追踪依赖变化,建议在每次执行更新前做好备份,并使用该工具进行比对。
- 执行更新前,复制当前 lock 文件:
cp composer.lock composer.lock.bak - 运行更新命令:
composer update - 使用工具查看变化:
composer-lock-diff composer.lock.bak composer.lock - 根据输出评估是否引入了潜在风险,比如重大版本升级或意外移除的依赖
对于 CI/CD 流程,也可以将此步骤自动化,在 pull request 中附带依赖变更报告。
支持 Git 集成与标准输入
该工具也支持直接从 Git 历史中读取旧版本 lock 文件,例如:
git show HEAD~1:composer.lock | composer-lock-diff - composer.lock这里使用 - 表示从标准输入读取旧版本,适合脚本化处理。
你也可以将其集成到 pre-commit 钩子或部署检查中,确保团队成员了解每一次依赖变动。
基本上就这些。composer-lock-diff 虽小,但在维护项目稳定性、审查第三方包变更时极为有用。不复杂但容易忽略。
