composer show --tree 是查看已安装依赖树的轻量命令,仅显示 vendor/ 中实际存在的包;需先执行 composer install/update 才能反映新添加的依赖,配合 -p、--no-dev 等参数可精准过滤,复杂场景推荐用 composer-dependency-graph 生成可视化图。
composer show --tree 查看当前项目的依赖树
直接运行 composer show --tree 是最轻量的方式,它会递归展开所有已安装包及其依赖,层级缩进清晰。注意:这个命令只显示已安装的包(即 vendor/ 中实际存在的),如果某包被 require 但尚未 install 或 update,不会出现在结果里。
常见误操作是刚改完 composer.json 就执行该命令,结果发现新添加的包没出现——这时先跑一遍 composer update 或 composer install。
- 加
-p参数可只显示指定包的依赖子树,比如composer show --tree -p monolog/monolog - 加
--no-dev可排除开发依赖,让主干依赖更干净 - 输出可能很长,建议配合
less或重定向到文件:composer show --tree | less
用 graphviz + composer-dependency-graph 生成可视化图
纯文本树状结构对复杂项目(尤其是含循环引用、多版本共存、大量 dev-require)很快失效。真正能看清依赖关系的,是 SVG/PNG 图形。官方不提供图形化工具,但社区有稳定方案:composer-dependency-graph。
它底层调用 Graphviz 的 dot 命令渲染,所以必须先装 Graphviz(macOS 用 brew install graphviz,Ubuntu 用 apt install graphviz)。
composer global require "mablae/composer-dependency-graph" composer-dependency-graph --format=png --output=deps.png
生成的 deps.png 会包含所有包节点和依赖箭头。默认图会非常密,实用技巧:
- 用
--only=prod过滤掉require-dev包 - 用
--exclude=phpunit,phpstan手动屏蔽干扰项 - 若报错
failed to execute dot,说明dot不在$PATH,需检查 Graphviz 安装路径并加入环境变量
为什么 vendor/composer/installed.json 不适合人工分析依赖?
有人试图直接读取 vendor/composer/installed.json 来写脚本解析依赖,这容易踩坑。因为该文件只记录每个包的 direct requires(即 composer.json 里写的那层),不包含 transitive dependencies 的实际解析结果——Composer 在安装时会做版本合并、冲突解决、平台约束裁剪,这些逻辑只存在于 composer.lock 和内存解析器中。
换句话说:installed.json 是“快照”,不是“拓扑”。想还原真实依赖图,必须走 Composer 的内部解析器(如 show --tree)或 lock 文件驱动的工具(如上述 graph 工具)。
-
composer.lock的packages字段才是最终安装清单,含完整require映射 - 手动解析 lock 文件要注意:
packages-dev是分离的,且某些包可能被 platform config(如ext-curl)动态过滤掉 - 不要信任
composer show单包输出里的 require 列表——它展示的是该包元数据声明的依赖,未必是当前项目实际加载的版本
dev-master / unstable 版本会让依赖图变得不可靠
当你在 composer.json 中使用 "monolog/monolog": "dev-master" 或 "^2.0@dev" 这类不稳定版本约束时,composer show --tree 和图形化工具有可能漏掉部分依赖,或显示过时的 require 关系。原因是 dev 分支的 composer.json 可能频繁变更,而 Composer 默认缓存 dist 包元数据,不一定实时 fetch。
验证方法:删掉 vendor/ 和 composer.lock,执行 composer install --no-cache,再重新生成图。如果图结构突变,大概率是 unstable 版本导致元数据不一致。
- 生产环境应避免使用
@dev约束,改用具体 commit hash 或稳定版本号 - CI 流程中生成依赖图时,建议加
--prefer-dist并固定COMPOSER_CACHE_DIR路径,减少缓存干扰 - graphviz 渲染时若出现节点重叠严重、文字挤在一起,不是工具问题,而是依赖太密——这时候与其调 layout 参数,不如先用
--exclude剥离无关包
config.platform 配置下的一次性快照。每次 composer update 后,图都应该重生成。最常被忽略的,是没意识到 platform 配置会静默移除某些包——比如设了 "config": {"platform": {"php": "8.1"}},那所有要求 PHP 8.2+ 的包都不会进入图中,哪怕它们还躺在 composer.json 里。 
