--no-dev 是生产环境强制安全边界,漏用会导致dev包如phpunit、symfony/var-dumper等误入线上,引发RCE风险、敏感信息泄露、非预期入口点及autoload性能下降。
它不是“可选优化”,而是生产环境的强制安全边界。 漏掉 --no-dev 会导致 dev-only 包(如 phpunit、symfony/debug-bundle、laravel/pint)被装进线上服务器,带来攻击面扩大、部署体积膨胀、autoload 冗余加载三重风险。
哪些包会被意外装入生产环境?
Composer 不会自动区分“开发用”和“运行时用”,全靠 require-dev 字段声明。常见误入生产的包包括:
-
phpunit/phpunit:含大量反射、eval 相关逻辑,曾多次触发 RCE 漏洞 -
symfony/var-dumper:调试输出函数若未被彻底禁用,可能泄露变量结构或敏感值 -
doctrine/doctrine-fixtures-bundle:提供/fixtures/load等非预期入口点 -
barryvdh/laravel-debugbar:前端调试面板若残留且未关闭,暴露 SQL 查询与环境变量 -
roave/security-advisories:虽为 dev 包,但它的存在会阻断所有已知漏洞版本的安装 —— 生产中反而需要它来防止恶意降级
不加 --no-dev 的实际后果
不只是多几个文件。关键影响在运行时:
- Autoload 映射变大:
vendor/autoload.php加载更慢,尤其在 PHP-FPM worker 启动阶段 - OPcache 冲突:dev 包常含大量注释、条件调试代码,干扰 OPcache 编译效率
- 权限误配:某些 dev 工具(如
psy/psysh)依赖readline或临时写入目录,上线后因权限不足报错却难以定位 - CI/CD 镜像膨胀:Docker 构建中漏掉该参数,会使镜像体积增加 20–60MB(视项目而定)
正确部署命令与 CI 建议
必须确保 Composer 安装命令在生产上下文中始终携带 --no-dev 和 --optimize-autoloader:
composer install --no-dev --optimize-autoloader --no-interaction
CI 流水线中还需额外检查:
- 确认
COMPOSER_NO_DEV环境变量未被设为0或空字符串(它会覆盖命令行参数) - 验证
composer.lock中packages-dev字段是否为空(非必须,但可作为部署前校验项) - PHP 8.1+ 项目建议加
--apcu-autoloader(若启用 APCu),但需注意 APCu 在 CLI 和 FPM 下默认隔离,仅对 Web 请求生效
最常被忽略的一点:Laravel 的 APP_DEBUG=true 和 --no-dev 没有绑定关系 —— 即使用了 --no-dev,如果配置没关调试,symfony/debug-bundle 虽不装,但框架仍可能暴露堆栈。二者必须同步清理。
