composer中如何配置项目的弃用消息以提醒用户迁移_composer abandoned用法【指南】

不能在项目 composer.json 中配置 "abandoned" 提醒他人，因该字段仅为 Packagist 平台元数据，仅对已发布包生效；本地设置被 Composer 完全忽略。

不能在你自己的项目 composer.json 里配 “abandoned” 提醒别人——这个字段只对被发布的包有效，且必须由 Packagist 平台生效。

为什么你在项目里写 "abandoned": true 没反应？

因为 abandoned 是 Packagist 的元数据标记，不是 Composer 运行时的本地配置项。它只在以下场景起作用：

• 你是一个包作者，已将 vendor/package-name 发布到 Packagist，并登录后台点击了 DEPRECATE 按钮
• 你在该包的 composer.json 中声明了 "abandoned": true 或 "abandoned": "vendor/new-package"，然后推送新版本（如 v1.5.0），Packagist 才会抓取并展示弃用状态
• 其他用户执行 composer install 或 composer update 时，Composer 从 Packagist API 获取到该包已被标记为废弃，才输出警告

换句话说：你本地项目的 composer.json 写了 abandoned，Composer 完全无视——它只关心你 依赖的第三方包 在 Packagist 上的状态。

如何真正让使用者看到弃用警告？

分三步走，缺一不可：

• 发布最终版：在你准备停更的包中，更新 composer.json，加入：

  {
    "name": "your-vendor/old-package",
    "abandoned": "your-vendor/new-package",
    "description": "Legacy utility, replaced by new-package"
  }

  然后打一个新 tag（如 v2.3.0）并 git push --tags
• 去 Packagist 点 DEPRECATE：登录 https://www.php.cn/link/ec811d0d775adc62776ba80fadd4ed19/packages/your-vendor/old-package，点右上角 DEPRECATE，填写推荐替代包名（如 your-vendor/new-package）和简短说明
• 同步文档：在 GitHub README.md 顶部加醒目 banner：

  ⚠️ This package is abandoned. Please use [your-vendor/new-package](https://www.php.cn/link/ec811d0d775adc62776ba80fadd4ed19/packages/your-vendor/new-package) instead.

做完这三步，下一次别人运行 composer require your-vendor/old-package 或 composer update，就会看到：
Package your-vendor/old-package is abandoned, you should avoid using it. Use your-vendor/new-package instead.

PathFinder

AI驱动的销售漏斗分析工具

下载

想临时屏蔽警告？别费劲了

Composer 没有 --no-abandoned-warnings 这种开关，也不支持全局关闭。有人试过在 composer.json 里加 "config": { "audit": { "block-abandoned": false } }，但这只影响 composer audit 命令，对 install/update 无效。

• CI/CD 中真要过滤，只能用 shell 处理输出：composer update 2>&1 | grep -v "is abandoned"
• 但这是掩耳盗铃：警告不显示 ≠ 风险消失。PHP 8.4 兼容性、未修复 CVE、autoload 冲突……这些不会因为你没看见就自动解决

替代方案比“怎么标废弃”更重要

很多团队卡在“旧包还在跑，新包不敢切”，其实关键不在怎么标废弃，而在怎么安全过渡：

• 用 composer depends your-vendor/old-package 查清谁在调它；如果是 monolog/monolog 这类间接依赖，优先升级那个上游包（比如把 some/framework 升到 v4.2+，它内部已切换到新实现）
• 新包若改了命名空间，别硬套旧代码。例如从 Old\Client 换成 New\HttpClient，就老老实实重构调用处，别搞 class_alias 临时糊弄
• 如果替代包要求 PHP 8.2+，而你线上还是 8.1，那就得先升级 PHP —— 弃用警告本质是技术债的计时器，不是开关

最常被忽略的一点：Packagist 上标记弃用后，该包名永久冻结，不能再发新版本。所以务必确认 abandoned 字段写对了，拼错一个字母，用户就收不到迁移提示。