0

0

Composer如何导出仅包含生产依赖的清单?(用于安全审计)

冰火之心

冰火之心

发布时间:2026-02-24 17:51:41

|

124人浏览过

|

来源于php中文网

原创

composer install --no-dev 不改变 composer.lock 中的 dev 依赖记录,安全审计需用 composer export --format=lock --without-dev 基于现有 lock 文件生成纯净生产环境依赖快照。

composer如何导出仅包含生产依赖的清单?(用于安全审计)

composer install --no-dev 导出的 lock 文件不等于生产依赖清单

很多人以为 composer install --no-dev 能直接生成纯生产环境的依赖快照,其实它只是跳过 require-dev 的安装,并不会改变 composer.lock 里已记录的全部包(含 dev 包)。安全审计需要的是「不含任何开发依赖的、可验证的依赖树」,必须从 lock 文件中剥离 dev 信息重新生成。

用 composer show --no-dev -f json 输出纯净生产依赖树

composer show 默认输出所有已安装包,加 --no-dev 才真正过滤掉 require-dev 中声明的包(注意:不是“未安装”的包,而是“不在 require-dev 列表里的包”)。配合 -f json 可导出结构化数据,便于后续解析或上传到 SCA 工具。

  • 执行 composer show --no-dev -f json > prod-deps.json,得到仅含生产依赖的 JSON 清单
  • 该命令不依赖当前是否已运行 install,只要 composer.lock 存在就能读取依赖关系
  • 输出中每个包的 require 字段仍可能包含 dev-only 包(比如某个生产包间接依赖了 phpunit),但这种情况极少见;若需彻底排除传递性 dev 依赖,得用更重的方案(见下一条)

用 composer export --format=lock --without-dev 生成最小化 lock 子集

Composer 2.4+ 内置了 export 命令,专为审计场景设计。它不是简单过滤列表,而是基于 composer.lock 重建一个不含 require-dev 相关字段、且移除了所有 dev-only 包及其子依赖的新 lock 文件。

68爱写
68爱写

专业高质量AI4.0论文写作平台,免费生成大纲,支持无线改稿

下载
  • 运行 composer export --format=lock --without-dev > composer-prod.lock
  • 生成的 composer-prod.lock 可被 composer install --no-dev 正常消费,也能直接喂给 Dependabot、Snyk 等工具做比对
  • 注意:该命令要求 lock 文件中各包版本已解析完成(即至少执行过一次 composer installupdate),否则会报错 Lock file does not contain required packages
  • 如果项目用了 platform-check 或自定义 repositoriesexport 不会自动继承这些配置,需额外确认环境一致性

为什么不能直接删掉 composer.json 里的 require-dev 再 dump-autoload?

require-dev 后运行 composer update --lock 看似能“刷新” lock 文件,但实际风险很大:Composer 会重新计算整个依赖图,可能导致生产包版本漂移(比如原本靠 dev 包的约束锁住的某个次版本,现在松动升级了)。审计要的是「当前线上运行时的真实依赖快照」,不是「假设没 dev 时可能装出来的依赖」。

所以必须基于现有 composer.lock 做裁剪,而不是触发新的解析逻辑。这也是 export 比手动改 composer.json 更可靠的原因——它只做减法,不做重算。

真正容易被忽略的是:很多团队把 composer.lock 当作黑盒,却没意识到它的结构本身支持按角色切片。只要 Composer 版本够新,export 就是最轻量、最保真的方式。

热门AI工具

更多
DeepSeek
DeepSeek

幻方量化公司旗下的开源大模型平台

豆包大模型
豆包大模型

字节跳动自主研发的一系列大型语言模型

通义千问
通义千问

阿里巴巴推出的全能AI助手

腾讯元宝
腾讯元宝

腾讯混元平台推出的AI助手

文心一言
文心一言

文心一言是百度开发的AI聊天机器人,通过对话可以生成各种形式的内容。

讯飞写作
讯飞写作

基于讯飞星火大模型的AI写作工具,可以快速生成新闻稿件、品宣文案、工作总结、心得体会等各种文文稿

即梦AI
即梦AI

一站式AI创作平台,免费AI图片和视频生成。

ChatGPT
ChatGPT

最最强大的AI聊天机器人程序,ChatGPT不单是聊天机器人,还能进行撰写邮件、视频脚本、文案、翻译、代码等任务。

相关专题

更多
composer是什么插件
composer是什么插件

Composer是一个PHP的依赖管理工具,它可以帮助开发者在PHP项目中管理和安装依赖的库文件。Composer通过一个中央化的存储库来管理所有的依赖库文件,这个存储库包含了各种可用的依赖库的信息和版本信息。本专题为大家提供相关的文章、下载、课程内容,供大家免费下载体验。

160

2023.12.25

json数据格式
json数据格式

JSON是一种轻量级的数据交换格式。本专题为大家带来json数据格式相关文章,帮助大家解决问题。

448

2023.08.07

json是什么
json是什么

JSON是一种轻量级的数据交换格式,具有简洁、易读、跨平台和语言的特点,JSON数据是通过键值对的方式进行组织,其中键是字符串,值可以是字符串、数值、布尔值、数组、对象或者null,在Web开发、数据交换和配置文件等方面得到广泛应用。本专题为大家提供json相关的文章、下载、课程内容,供大家免费下载体验。

544

2023.08.23

jquery怎么操作json
jquery怎么操作json

操作的方法有:1、“$.parseJSON(jsonString)”2、“$.getJSON(url, data, success)”;3、“$.each(obj, callback)”;4、“$.ajax()”。更多jquery怎么操作json的详细内容,可以访问本专题下面的文章。

323

2023.10.13

go语言处理json数据方法
go语言处理json数据方法

本专题整合了go语言中处理json数据方法,阅读专题下面的文章了解更多详细内容。

81

2025.09.10

format在python中的用法
format在python中的用法

Python中的format是一种字符串格式化方法,用于将变量或值插入到字符串中的占位符位置。通过format方法,我们可以动态地构建字符串,使其包含不同值。php中文网给大家带来了相关的教程以及文章,欢迎大家前来阅读学习。

866

2023.07.31

python中的format是什么意思
python中的format是什么意思

python中的format是一种字符串格式化方法,用于将变量或值插入到字符串中的占位符位置。通过format方法,我们可以动态地构建字符串,使其包含不同值。本专题为大家提供相关的文章、下载、课程内容,供大家免费下载体验。

452

2024.06.27

require的用法
require的用法

require的用法有引入模块、导入类或方法、执行特定任务。想了解更多require的相关内容,可以阅读本专题下面的文章。

483

2023.11.27

Golang 生态工具与框架:扩展开发能力
Golang 生态工具与框架:扩展开发能力

《Golang 生态工具与框架》系统梳理 Go 语言在实际工程中的主流工具链与框架选型思路,涵盖 Web 框架、RPC 通信、依赖管理、测试工具、代码生成与项目结构设计等内容。通过真实项目场景解析不同工具的适用边界与组合方式,帮助开发者构建高效、可维护的 Go 工程体系,并提升团队协作与交付效率。

1

2026.02.24

热门下载

更多
网站特效
/
网站源码
/
网站素材
/
前端模板

精品课程

更多
相关推荐
/
热门推荐
/
最新课程
第二十四期_PHP8编程
第二十四期_PHP8编程

共86课时 | 3.4万人学习

成为PHP架构师-自制PHP框架
成为PHP架构师-自制PHP框架

共28课时 | 2.6万人学习

第二十三期_PHP编程
第二十三期_PHP编程

共93课时 | 7.3万人学习

关于我们 免责申明 举报中心 意见反馈 讲师合作 广告合作 最新更新
php中文网:公益在线php培训,帮助PHP学习者快速成长!
关注服务号 技术交流群
PHP中文网订阅号
每天精选资源文章推送

Copyright 2014-2026 https://www.php.cn/ All Rights Reserved | php.cn | 湘ICP备2023035733号