composer install 找不到 vendor 包是因为 git 忽略 vendor/ 且未运行过 install 或删除了它;根本原因是 composer.lock 未提交或不一致,导致依赖无法按预期还原。
为什么 composer install 会找不到已提交的 vendor 包?
因为 Git 忽略了 vendor/,而你本地没运行过 composer install 或删掉了它——这本身不是 Composer 的问题,是版本管理策略和协作流程没对齐。Composer 从不把依赖包塞进 Git,它只靠 composer.lock 还原环境。
确保 composer.lock 被提交且内容可信
composer.lock 是还原依赖的唯一权威依据,但它必须被 git add 并推送到远端。常见错误是:开发者本地改了 composer.json 却忘了生成/提交新的 lock 文件,导致别人拉代码后执行 composer install 拿到的是旧依赖或报错。
-
composer install只读composer.lock,不读composer.json的版本范围(除非 lock 缺失) - CI/CD 或新成员首次构建时,若
lock文件缺失或损坏,install会退化为update行为,结果不可控 - 检查 lock 文件是否真实反映当前依赖:运行
composer show --outdated,再比对composer.lock里对应包的version和source/reference
Git 忽略 vendor/ 后,怎么让 CI 或同事快速重建?
靠标准化命令流 + 明确的环境假设。不是“怎么绕过忽略”,而是接受忽略、用对命令。
- CI 脚本必须包含:
composer install --no-interaction --prefer-dist --optimize-autoloader -
--prefer-dist强制走压缩包而非 Git 克隆,避免因私有仓库权限、SSH 配置或网络策略失败 -
--optimize-autoloader在生产环境必需,否则类自动加载慢,且可能触发未声明的 dev 依赖加载 - 禁止在项目根目录写
.gitignore规则去“取消忽略 vendor”——那等于把二进制依赖纳入 Git,迟早出事
遇到 Package X not found 错误时优先排查什么?
这类报错几乎从不因为 vendor/ 被忽略,而是锁文件、源配置或网络三者之一断了链。
- 先确认
composer.lock是否存在且格式合法(JSON 解析不报错) - 检查
repositories配置:私有包源是否在composer.json中正确定义?是否需要auth.json? - 运行
composer diagnose,它会指出常见陷阱,比如allow-plugins拒绝了必要插件、PHP 版本不匹配、或distURL 返回 404 - 别急着删
vendor/和lock重来——先用composer why-not vendor/package:1.2.3看冲突源头
vendor/ 是正确做法,但它的代价是:所有人必须严格依赖 composer.lock 的完整性,以及所有环境都得能访问到 lock 文件里记录的每个包源。这点一旦松动,问题就不是“丢文件”,而是“每次还原都不一样”。 
