Composer无自动清理旧包机制,需通过composer update --lock后执行composer install --no-interaction重建vendor目录以移除lock中不存在的包,并结合--no-dev等参数精简生产环境依赖。
Composer 本身没有“自动清理旧包”的内置机制,但可以通过组合命令和配置实现类似效果——核心是用 composer update 替代 composer install(当 composer.lock 已过时),再配合 composer remove 或 composer install --no-dev 等策略精准控制依赖范围。
理解“旧包”从何而来
所谓“旧包”,通常指三类情况:
-
被新版本替代的同名包(如从
monolog/monolog:2.8升级到3.0,旧版本文件会保留在vendor/中) -
已从
composer.json移除、但未手动卸载的包(composer update不会自动删它们) -
仅用于开发、上线时不需要的包(如
phpunit、laravel/pint)
用 composer update + composer install 组合清理残留
Composer 的 vendor/ 目录是“按需重建”的。真正可靠的清理方式不是手动删,而是让 Composer 重新生成干净的依赖树:
- 先运行
composer update --lock:只更新composer.lock文件,不改vendor/ - 再运行
composer install --no-interaction:按最新composer.lock重建vendor/,自动移除所有 lock 文件里不存在的包
这个流程能确保 vendor/ 与 composer.lock 严格一致,旧包自然消失。
自动移除已删除的包(推荐脚本化)
如果经常手动编辑 composer.json 删除依赖,可加一步检查并清理:
- 运行
composer show --installed列出当前装了什么 - 对比
composer.json的require和require-dev字段 - 对出现在
vendor/但不在composer.json中的包,执行composer remove vendor/package-name
可将上述逻辑写成简单 shell 脚本或 Makefile 命令,例如:
此版本和闪睿企业网站管理系统 2009 SP1 Build 090828 得区别是:这个可以在本地计算机一键安装所有所需组件,并安装完成后自动打开闪睿网站前台。我们的口号:简单,不思考!这个版本要的就是简单!不再需要安装IIS,配置IIS,繁琐的各种设置,下载等,就下载一个包,运行一个程序,一步到位!2.0版本更新日志:1.自主研发迷你web服务器,全自动配置参数。简单无极限!2.迷你服务器和迷你
make clean-unused && composer install
生产环境部署时彻底精简
上线前避免带入 dev-only 包:
- 部署时用
composer install --no-dev --optimize-autoloader - 确保
COMPOSER_NO_DEV=1环境变量已设置(某些 CI/CD 场景更可靠) - 搭配
--classmap-authoritative进一步提升性能并减少无用文件加载
这样连 require-dev 里的包都不会下载,从源头杜绝“旧 dev 包”残留。
基本上就这些。Composer 的设计哲学是“声明式依赖管理”,清理不靠自动扫描,而靠重装对齐 lock 文件——只要保持 composer.json 和 composer.lock 同步,vendor 就不会堆积旧包。
