composer install --dry-run 能完整执行依赖解析、平台检查和插件钩子,但跳过所有磁盘写入;不能验证自动加载是否生效、不校验 autoload 冲突、不检测网络权限或运行时环境问题。
composer install --dry-run 能做什么、不能做什么
composer install --dry-run 会完整走通依赖解析、平台检查(PHP 版本、扩展如 ext-gd)、插件钩子(比如 autoload 生成逻辑),但跳过所有磁盘写入:不下载 zip,不解压,不改 vendor/,不重写 composer.lock,也不生成真实 autoload_static.php。它不是“预加载”,而是“只算不写”——你能看到哪些包会被装、哪些被跳过、脚本是否计划运行,但看不到类自动加载是否真能命中。
什么时候必须跑 --dry-run,而不是直接 install
以下场景不加 --dry-run 就执行,等于闭眼跳坑:
- 刚切完 Git 分支,
composer.lock和本地vendor/状态不一致,想确认install是否会删包或重装大量依赖 - CI 流水线里收到 PR 提交了新的
composer.lock,需验证它在当前 PHP 版本下是否真能通过(composer install --dry-run会报错如果platform配置不匹配) - 你改了
composer.json的require或config.platform.php,但不确定会不会触发symfony/console从 v5 降级到 v4 - 团队协作中有人提交了
--no-dev后生成的 lock 文件,你想快速确认它会不会把phpunit/phpunit连带依赖全干掉
怎么看出 dry-run 输出里的关键信号
输出不是日志,是动作快照。盯住三类符号和提示:
- 行首
+表示将新增(如+ monolog/monolog: 2.9.0) - 行首
~表示将更新(如~ guzzlehttp/guzzle: 7.5.0 → 7.8.1) - 行首
-表示将卸载(如- phpunit/phpunit: 9.6.13) - 出现
Skipped通常说明该包已满足约束且无新版本可选;但若预期它该升级却显示Skipped,就要检查composer.json版本约束是否写死了 - 出现
Writing lock file是提示,不是动作——实际文件不会变
加 -v 可看到 PSR-4 映射推导过程:composer install --dry-run -v | grep "autoload",帮你提前判断自定义命名空间是否被正确识别。
常见误判点和必须人工补位的地方
--dry-run 不是万能安全阀。它无法替代真实环境验证:
- 不校验
autoload规则是否冲突(比如两个包都声明了App\\到不同路径),也不会运行composer dump-autoload - 不检测网络权限(私有仓库 token 过期?)、磁盘空间、文件系统权限等运行时问题
- 不模拟
vendor/bin软链创建,所以即使 dry-run 成功,真实 install 后命令行工具仍可能找不到 - 如果用了插件(如
hirak/prestissimo或自研插件),而插件没适配isDryRun()判断,它仍可能在 dry-run 阶段执行副作用(比如清缓存、发通知)
真正关键的兼容性断点,往往藏在 platform 配置和 PHP 实际版本差值里——--dry-run 会按配置算,但不会替你查服务器上 php -v 和 php -m 的真实输出。
