生产环境严禁运行 composer install,必须在构建阶段完成依赖安装并同步代码包

在生产服务器上直接敲composer install,无异于给自己埋雷。 这绝非危言耸听,而是无数血泪教训换来的铁律:依赖安装必须在独立的构建阶段完成,然后将完整的代码包同步上线。任何图省事的做法,都会直接指向权限混乱、环境不一致和敏感信息泄露这三类致命问题。
为什么生产机上跑 composer install 会出事
表面上看,在线上直接安装依赖似乎一步到位,但实际上,这个操作背后至少隐藏着三处硬伤,每一处都足以让部署流程瞬间崩溃:
- 首先是权限陷阱。部署用户往往没有对
vendor/目录或composer.lock文件的写权限,结果就是触发file_put_contents(): failed to open stream: Permission denied。这错误排查起来,耗时远超你的预估。 - 其次是环境漂移。本地开发用的是PHP 8.2,线上服务器却还是8.1?一句
Your platform does not meet the requirements就能让整个CI/CD流水线直接卡死,部署流程就此中断。 - 最后,也是最危险的,是安全泄露。如果
composer.json或.env这类配置文件因为Nginx配置不当而被暴露在公网,那么数据库密码、API密钥等核心机密,几秒钟内就会落入攻击者手中。
composer install --no-dev --optimize-autoloader --classmap-authoritative --no-interaction 必须一起用
在构建阶段执行安装命令时,上面这五个参数堪称“黄金组合”,它们彼此互锁,缺一不可。漏掉任何一个,都可能导致线上服务响应变慢、偶发500错误,甚至自动化部署挂起。
--no-dev:这个参数的作用是跳过所有require-dev中的开发依赖,比如phpunit、symfony/debug-bundle。如果不加,这些包不仅会挤占空间,其类定义还会被写入autoload.php,拖慢类加载速度,更可能留下调试入口,带来安全隐患。--optimize-autoloader:它的核心价值是性能。命令会生成一个vendor/composer/autoload_classmap.php文件,将类名与文件路径直接映射。实测表明,这能将单次类加载时间从平均1.2毫秒降至0.05毫秒。在高并发场景下,不加这个参数,autoload过程本身就是I/O瓶颈。--classmap-authoritative:这个参数可以看作是--optimize的升级版(后者已废弃)。它强制autoloader只查询上面生成的classmap,完全跳过文件系统扫描,性能更高。但需要注意,它要求所有需要用到的类都必须被收录进map(PSR-4/0规范的类会自动覆盖,而files方式引入的则需要手动确认)。--no-interaction:这是自动化流程的“保险栓”。它能防止Composer在安装过程中弹出任何交互式提示(例如“是否存储GitHub凭证?”),避免CI任务或Docker构建因此卡住,最终导致超时失败。
装完还得删:vendor/ 里哪些东西必须清理
执行完composer install --no-dev --optimize-autoloader只是达到了安全部署的底线。要想更进一步优化和加固,vendor/目录里还有不少“赘肉”必须清理掉:
vendor/bin/—— 除非你明确需要在生产环境运行某个二进制工具(如phinx),否则这个目录应该全部删除。- 所有测试目录 —— 包括
vendor/**/tests/、vendor/**/Tests/、vendor/**/test/、vendor/**/Test/,它们在生产环境中毫无用处。 - 版本控制和配置文件 —— 例如
vendor/**/{.git,.gitignore,.tra vis.yml,phpunit.xml,phpstan.neon,psalm.xml}。 - 文档和示例 —— 如
vendor/**/docs/、vendor/**/examples/、vendor/**/demo/。 vendor/composer/installed.json—— 这个文件记录了所有已安装包的完整版本和哈希信息。一旦泄露,攻击者可以借此精准判断你使用的组件是否存在已知漏洞。
在Linux或macOS下,可以使用一条命令进行清理:find vendor -path '*/tests' -o -path '*/.git' -o -name 'phpunit.xml' -delete。不过,在CI/CD流水线中,更推荐使用显式删除命令,避免通配符匹配遗漏:rm -rf vendor/bin/ vendor/**/tests/ vendor/**/docs/ vendor/composer/installed.json。
Nginx 必须封死的路径,try_files 拦不住
很多开发者以为配置了try_files $uri $uri/ /index.php?$query_string;就万事大吉,但这行指令只负责请求路由,不负责文件防盗。真正要堵住漏洞,必须依靠location规则进行硬隔离:
- 封锁配置文件与元数据:
location ~ /\.(env|json|lock|git|hg|svn)$ { deny all; }—— 这条规则能拦截所有以指定后缀结尾的敏感文件。 - 彻底封死vendor目录:
location ^~ /vendor/ { return 403; }—— 使用^~前缀匹配,确保该规则的优先级高于处理PHP的location ~ \.php$规则,从而彻底杜绝通过URL遍历vendor/目录的可能。 - 精确匹配根目录关键文件:
location = /composer.json { return 403; }—— 由于^~对精确路径匹配不生效,所以需要用=来单独封死根目录下的composer.json。
少写其中任何一条,都相当于将项目结构、依赖版本甚至部分密钥敞开给网络扫描器。最容易被忽略的两个点是:包含详细依赖信息的installed.json文件,以及确保/vendor/的^~规则优先级必须高于\.php$规则——否则,攻击者甚至可能直接下载到/vendor/autoload.php这个入口文件。
