composer show --latest 显示已安装包在当前 composer.json 版本约束下允许升级到的最新稳定版,而非全局最新版;它不检查未安装包、不标注安全更新或主版本变更,且受 lock 文件、minimum-stability 和平台配置限制。
composer show --latest 是什么?它不查“所有包”
composer show --latest 的作用被广泛误解:它**不是列出项目中所有包的最新版本**,而是对每个已安装包,单独显示其当前安装版本与 Packagist 上「该包在当前约束下允许升级到的最新稳定版」——注意,“允许”取决于 composer.json 里的版本约束(如 ^2.0 或 ~3.1),不是无条件取全局最新。
- 如果某个包锁死在
"monolog/monolog": "2.5.0"(无符号),--latest不会显示 v2.10.0,因为约束不允许自动升级 - 它只作用于已安装包,不会扫描未安装但声明在
require-dev中且被--no-dev排除的包 - 输出里没有明确标注“安全更新”或“主版本变更”,v3.0.0 即使是 breaking change,只要约束允许(比如你写了
*),它就照常显示
想看某个包的所有历史版本?用 --all,不是 --latest
真正用来查一个包全部发布版本(含 alpha、beta、dev、stable)的命令是:composer show --all vendor/package-name。这个命令绕过本地安装状态,直接向 Packagist 请求元数据。
-
composer show --all guzzlehttp/guzzle会列出dev-master、7.9.0、8.0.0-beta、8.1.0等所有 tag 和分支 - 稳定版通常满足
x.y.z格式,且不含-alpha、-rc、-dev后缀;但 Composer 不过滤,需人工识别 - 别信网上搜到的
show -a或show -r——-a是--all的缩写,-r(--remote)在新版 Composer 中已被弃用,实际行为等同于--all
为什么 --latest 有时不显示更新?三个常见卡点
运行 composer show --latest 却没看到预期的新版本,大概率掉进以下任一坑里:
ECShop GBK
下载
ECSHOP是一款开源免费的网上商店系统。由专业的开发团队升级维护,为您提供及时高效的技术支持,您还可以根据自己的商务特征对ECSHOP进行定制,增加自己商城的特色功能。 ECShop网店系统 V2.7.3 Release 1106正式版发布版本提高了用户体验,优化代码,提升安全性,对原有产品各功能线进行梳理合理优化。此版本后台新增云服务,方便用户查看版本和最新补丁信息,同时提供应用服务。新增 银
-
本地 lock 文件滞后:Composer 依赖
composer.lock判断“当前安装版本”,若你改过composer.json但没跑composer update --lock,--latest仍按旧 lock 计算 -
minimum-stability 配置干扰:若项目设了
"minimum-stability": "beta",--latest可能推举出 beta 版本,而你以为它该推 stable;反之,若设为"stable"却有新 stable 版未同步到 Packagist 缓存,也会延迟出现 -
平台配置(platform)导致兼容性屏蔽:例如
"config": {"platform": {"php": "8.1.0"}},即使某包 v4.0.0 已发布,但其composer.json声明"php": "^8.2",那 v4.0.0 就不会出现在--latest结果中
替代方案:更可靠的“最新版”判断组合
单靠 show --latest 容易误判,日常维护建议搭配使用:
- 查「所有可用版本」+ 人工筛选稳定版:
composer show --all vendor/package | grep -E '^[0-9]+\.[0-9]+\.[0-9]+$'(Linux/macOS) - 确认是否真有过期包(含主版本):
composer outdated --all --direct,加--direct只看顶层依赖,避免被子依赖刷屏 - 验证安全风险:
composer audit(Composer ≥2.5),它和outdated是两套逻辑,一个管漏洞,一个管版本号 - 终极确认:打开 https://www.php.cn/link/f69b857233949c6a79158d4bb7ab5061,看 Versions 标签页 —— 这里永远是最权威的源
别把 --latest 当成“一键更新指南”,它只是约束检查器,不是版本百科全书。真正做升级决策前,得看 CHANGELOG、测试兼容性、甚至翻 PR 列表——Composer 不替你读代码。
