composer install --prefer-lowest 无效,因它仅按 composer.lock 安装;而 composer update --prefer-lowest 才强制解析 composer.json 并安装各包允许范围内的最低稳定版。
为什么 composer update --prefer-lowest 不等于 composer install --prefer-lowest
因为 composer install 完全忽略 --prefer-lowest ——它只按 composer.lock 里已记录的版本安装,参数无效。真正起作用的是 composer update --prefer-lowest,它会重新解析 composer.json 中所有 require 和 require-dev 的版本约束,并强制取每个包在允许范围内的最低稳定版(如 "laravel/framework": "^10.0" → 安装 10.0.0,而非 10.48.20)。
- 本地首次测试:先删掉
composer.lock和vendor/,再运行composer update --prefer-lowest --no-interaction - CI 中务必加清理步骤,比如
rm -f composer.lock && rm -rf vendor,否则旧 lock 文件会让--prefer-lowest彻底失效 - 如果只想降某几个包(比如只测
phpunit和symfony/console),直接加包名:composer update --prefer-lowest phpunit/phpunit symfony/console
测试失败时,第一反应不该是改代码,而是看约束是否自相矛盾
--prefer-lowest 本质是“压力探测器”:它不修复问题,只让隐藏冲突浮出水面。常见失败不是因为你用了新 API,而是 composer.json 里声明的版本范围存在逻辑漏洞。
- 例如同时写了
"monolog/monolog": "^2.0"和"symfony/console": "^6.0",但 monolog 2.0.0 要求psr/log^1.0,而 symfony/console 6.0.0 又要求psr/log^2.0→ 直接无法解析,报Unable to find a compatible set of packages - 某些包最低版已 EOL(如
guzzlehttp/guzzlev6.5.x),Composer 仍会尝试装,CI 报错不是你的锅,而是提醒你该收紧require(比如改成"^7.0") - 用
composer show看实际装了什么版本,比猜更准;失败后立刻跑composer why-not vendor/package:1.x.0定位谁在拦路
CI 中必须搭配测试命令,否则等于没测
--prefer-lowest 只负责装依赖,不运行任何断言。光执行 composer update --prefer-lowest 就标为“兼容测试通过”,是最大误用。
- 正确链路是:
composer update --prefer-lowest --prefer-stable --no-interaction && vendor/bin/phpunit --stop-on-failure - PHP 版本不能靠
--prefer-lowest降级,它只管包版本。若要测 PHP 8.0 + 最低依赖组合,需在 CI 中单独设 PHP 8.0 运行时,再跑上面命令 - 建议 CI 分两个 job:一个默认最新依赖,一个
--prefer-lowest,两者都过才算真正覆盖兼容边界
容易被忽略的陷阱:锁文件残留、平台限制、隐式 polyfill 依赖
你以为删了 composer.lock 就干净了?未必。有些问题藏得更深。
-
composer.lock可能被 git 忽略或未提交,导致本地和 CI 行为不一致;CI 脚本中应显式rm -f composer.lock,而不是依赖--ignore-platform-reqs(慎用,它可能掩盖真实环境问题) -
php平台约束(如"php": "^8.1")不会被--prefer-lowest触及,但它的子依赖(如symfony/polyfill-php81)会被拉到最低版 —— 如果你代码里用了Stringable::toString()(PHP 8.0+),而 polyfill 旧版没实现,测试当场崩 - 某些包(如
doctrine/dbal)在小版本间悄悄改了返回类型(string|null→string),--prefer-lowest装旧版时看似正常,新版却因严格类型检查失败 —— 它帮你锚定“从哪一版开始变”,而不是告诉你“永远安全”
