不提交 vendor 目录到版本控制,应在 .gitignore 中添加 vendor/;2. 必须提交 composer.lock 以确保环境一致;3. 团队协作和部署时使用 composer install 安装依赖;4. 定期运行 composer update 更新依赖并提交新的 lock 文件;5. 生产环境部署执行 composer install --no-dev --optimize-autoloader 优化性能且不安装开发依赖。
Composer 的 vendor 目录是项目依赖的存放位置,由 Composer 自动管理,不应手动修改或提交到版本控制系统中。正确管理该目录的关键在于理解其作用和遵循标准实践。
不要提交 vendor 目录到版本控制
vendor 目录的内容是从 composer.json 和 composer.lock 文件重建生成的,因此不需要纳入 Git 等版本控制系统。
- 在项目根目录的 .gitignore 文件中添加 vendor/,避免误提交
- 团队协作时,每个开发者运行 composer install 来安装一致的依赖版本
- CI/CD 流程中也通过 composer install 安装依赖,确保环境一致性
使用 composer.lock 锁定依赖版本
每次执行 composer update 后,composer.lock 会记录实际安装的依赖及其精确版本。
- 必须将 composer.lock 提交到版本控制
- 其他开发者和生产环境使用 composer install 时,会严格按照 lock 文件安装,避免版本差异引发问题
- 不提交 lock 文件可能导致不同环境依赖行为不一致
定期更新依赖并提交 lock 文件
虽然 vendor 不提交,但需要定期更新依赖以获取安全补丁和新功能。
- 使用 composer update 更新依赖,并重新生成 composer.lock
- 更新后应测试项目功能,确认兼容性
- 将更新后的 composer.lock 提交到仓库,使所有环境同步变更
部署时正确处理 vendor 目录
在生产环境部署时,不应直接复制开发机的 vendor 目录。
- 部署流程中运行 composer install --no-dev --optimize-autoloader
- --no-dev 确保不安装开发依赖(如 phpunit)
- --optimize-autoloader 提升类加载性能
- 确保部署机器有足够权限和网络访问包仓库
基本上就这些。只要坚持不提交 vendor、提交 lock 文件、用 install 部署、定期安全更新,就能稳定管理依赖。不复杂但容易忽略细节。
