Composer依赖关系分析:从命令行到可视化,一次讲透

composer show -t 是当前最稳的依赖树命令,别再用 --tree
如果你还在用 composer show --tree,那可得注意了。从 Composer 2.0 开始,--tree 这个长参数就已经被统一为短参数 -t。尤其是在 2.2+ 版本里,强行使用 --tree 会直接报错 Unrecognized option "--tree"。所以,现在最稳妥、无需安装任何插件、也不用改配置的命令,就是 composer show -t。
不过,这个命令有个关键点:必须指定一个包名,哪怕是指向当前项目本身。否则,你会遇到 Not enough arguments 的错误。具体用法可以这么记:
composer show -t .:查看整个项目的完整依赖树,这里的点号就代表当前项目。composer show -t guzzlehttp/guzzle:只展开这个特定包及其下游的所有依赖。- 想排除开发依赖?注意顺序:
--no-dev必须放在-t前面。所以composer show --no-dev -t .才是正确写法,反过来就会无效。
看输出结果时,要留意带括号的版本号,比如 [dev-master] 或 [7.8.1]。这表示你实际安装的版本,而不是 composer.json 里写的版本约束。如果你发现安装了 v6.5.8,但你的约束写的是 "^7.0",那基本可以断定,是项目里其他包强制把它降级了。
查“谁依赖了这个包”,用 composer show --who,不是 depends
想搞清楚是哪个包引入了某个依赖?很多人会想到 composer depends,但这个命令在 2.4+ 版本默认是关闭的实验性功能。更麻烦的是,一旦遇到 provide、replace 或者本地 path 仓库这类情况,它很容易漏判。
相比之下,composer show --who psr/log 就直白多了。它直接扫描所有已安装包的 require 和 require-dev 字段,干净利落,结果确定,不绕弯子。
但有一点必须注意:它只显示“直接声明者”。
- 假设依赖链是 A → B → C,那么查询 C 时,结果只会列出 B,不会继续追溯到 A。
- 你可以加上
--no-dev来过滤掉开发依赖:composer show --who --no-dev psr/log。 - 如果查询结果为空,并不一定代表没人用。有可能是通过虚拟包(例如
psr/log-implementation)间接提供的。这时候,就该回头去用composer show -t .看看全局依赖结构了。
想溯源到自己写的 require,必须加 --tree
composer why monolog/monolog 这个命令,默认只返回直接依赖者,比如告诉你来自 lara vel/framework。但开发者真正想知道的往往是:“我自己的 composer.json 里,到底是哪一行引入了它?” 这时候,如果不用 --tree 选项,查了等于白查。
正确的用法是:
composer why --tree monolog/monolog:只有当输出结果的末尾出现了类似your-project-name dev-main这样的条目,才说明源头是你自己在require里声明的。- 如果条目后面带着
[dev]标记,那就说明它来自require-dev。 - 如果依赖树在某一层(比如
lara vel/framework)就中断了,那大概率是因为这一层包使用了provide声明了虚拟包,导致 Composer 没有继续向下解析。
纯文本树不够用?可视化得靠 dot + composer-graph
当项目依赖嵌套很深、关系复杂时,composer show -t 输出的纯文本简直让人眼花缭乱。真想看清包与包之间的交叉引用、冲突源头和完整调用链路,还得靠图形化方案。
具体做法是,先安装 baethon/composer-graph 插件,然后运行 composer graph。但这里有个前提:你的本地环境必须有 dot 命令(由 Graphviz 软件提供),否则会报错 Dot command not found。不同系统的安装方式如下:
- Mac 用户:通过 Homebrew 安装:
brew install graphviz。 - Ubuntu/Debian 用户:
sudo apt-get install graphviz。 - Windows 用户:需要手动下载 Graphviz 安装包,并把
dot.exe所在的目录添加到系统的 PATH 环境变量中。
安装好插件后,首次运行 composer graph 默认会生成一张 dependency-graph.png 图片。你还可以使用 --format svg 等选项来指定输出格式。
最后需要提醒的是,图形化也不是万能的。它展示的其实是 composer.lock 文件的快照状态,反映的是依赖关系,而不是实际的代码调用关系。另外,如果你的 vendor/ 目录是空的,或者 composer.lock 文件缺失,那图是肯定画不出来的——这一点,恰恰是最容易被忽略的前置条件。
