Composer install 安装子依赖版本不一致，是因为它依据根 composer.json 约束和 composer.lock 锁定版本共同解析；未提交 lock 文件或使用不同 Composer 版本会导致间接依赖如 monolog/monolog 解析出不兼容新版，引发 CI 失败。

为什么 composer install 会装出不同版本的子依赖？

问题的根源在于，Composer 并不会直接锁定那些“子依赖”——也就是你的项目依赖的包，它们自己又依赖的其他包。最终的安装结果，其实是根目录的 composer.json 中声明的版本约束，与 composer.lock 文件里记录的精确版本号，两者共同作用、解析出来的。

一旦团队协作时漏提交了 composer.lock 文件，或者有人使用了不同主版本的 Composer 工具进行安装，那么像 monolog/monolog 这类间接依赖，就很可能被解析成一个不兼容的新版本。这直接解释了那个经典现象：代码在本地跑得好好的，一到持续集成（CI）环境构建就失败，抛出诸如 Class not found 或 Method not exists 的错误——十有八九，是某个子依赖在你眼皮子底下悄悄升级了。

• 务必分清两个核心命令：composer install 严格遵循现有的 composer.lock 文件进行安装；而 composer update 才会重新解析依赖关系并更新锁文件。
• 团队开发的第一铁律：必须将 composer.lock 文件纳入版本控制，并且严禁手动编辑它。
• 如果想固定某个子依赖的版本，直接在根 composer.json 里添加类似 "monolog/monolog": "^2.0" 的声明，这属于“将其提升为直接依赖”，方法并不优雅。更合理的做法是通过 replace 或 conflict 来干预 Composer 的解析逻辑（具体见下一条）。

如何阻止某个包加载特定子依赖版本？

最直接有效的方法是使用 conflict 字段。举个例子，你发现项目间接依赖的 guzzlehttp/guzzle 在 7.5.0 版本存在内存泄漏问题，但直接依赖它的包（比如 aws/aws-sdk-php）并没有限制其版本上限。这时，你可以在项目根目录的 composer.json 中加入：

"conflict": {
  "guzzlehttp/guzzle": "7.5.0"
}

这样一来，Composer 在解析依赖时就会主动跳过这个有问题的 7.5.0 版本，转而选择更旧的 7.4.5 或者已经修复问题的 7.6.0。这种方法比直接修改 require 更安全，因为它不会破坏原有的依赖关系图。

• 需要理解几个关键行为的区别：conflict 不影响包的安装，只在解析阶段排除特定的版本组合；而 replace 则会彻底“隐藏”被替换的包，使用需谨慎。
• 不要滥用 provide 来模拟某个包的存在，这很容易导致运行时出现类找不到的致命错误。
• 如何验证冲突配置是否生效？运行命令 composer prohibits guzzlehttp/guzzle:7.5.0 检查一下。

私有包里写了 require，为什么项目里装不上？

这是因为 Composer 默认只从 Packagist 公共仓库查找包。假设你的私有包 myorg/utils 在其 composer.json 中声明了依赖 "nesbot/carbon": "^2.60"，但你的主项目并没有配置能够找到 nesbot/carbon 这个包的仓库源（比如忘记配置 Packagist 镜像或相应的私有源），那么 Composer 就会报错 Could not find package nesbot/carbon。关键在于，这个错误指向的是子依赖 carbon，而不是你的私有包本身。

• 必须确保项目所有层级的间接依赖，都能通过已配置的仓库源获取到。这包括 Packagist、以及私有的 Satis、Toran 或 GitHub Packages 等。
• 使用 composer config --list 命令，确认 repositories 配置是否正确生效。对于私有仓库，配置中需要包含 type: "composer" 和一个有效的 url。
• 一个实用的调试技巧：直接运行 composer show nesbot/carbon，看是否能查询到这个包的信息。如果查不到，那就说明仓库源配置有问题，问题出在源上，和你的私有包无关。

更新一个包时，怎么知道会影响哪些子依赖？

这时候，就得依靠 composer depends 和 composer why-not 这两个侦探工具了。比如，你打算将 symfony/console 升级到 6.2 版本，但不确定 doctrine/doctrine-bundle 是否兼容，可以运行：

composer why-not symfony/console:6.2

命令会清晰地输出阻止升级的原因。例如，它可能显示：doctrine/doctrine-bundle 2.7.0 requires symfony/console ^5.4 || ^6.0 —— 这说明实际上 6.2 是允许的；但如果显示 lara vel/framework 9.0 requires symfony/console ^6.0.0，你就需要进一步查阅 Lara vel 的文档来确认确切的版本边界。

• 使用 composer depends --tree myorg/utils 可以展开整个依赖树，清晰地看到是哪些包在引用你的私有包，以及它们各自带来了什么子依赖。
• 在进行任何升级操作前，先执行 composer update --dry-run 进行模拟演练，仔细观察锁文件将会发生哪些变动。
• 子依赖的兼容性信息，往往直接写在上游包的 composer.json 文件里，而不是其官方文档中。因此，排查时经常需要直接查看源码级别的版本约束。

话说回来，在实际工程项目中，最棘手的场景从来不是“如何书写 require 语句”。而是当三个不同的核心包各自锁定了不同版本的 psr/log，而团队又没人敢轻易改动 composer.lock 时，你不得不一层层翻查 vendor/composer/installed.json