必须用 --no-dev,因为它能减少依赖体积、缩短安装时间、消除开发依赖带来的安全风险;需配合 --optimize-autoloader、--classmap-authoritative 等参数,并验证 dev 包未安装。
生产环境部署时启用 --no-dev 是标准且必要的操作,它能显著减少依赖体积、缩短安装时间,并消除开发依赖引入的安全风险。
为什么必须用 --no-dev?
Composer 的 dev 依赖(如 PHPUnit、phpstan、larastan、mockery、symfony/debug 等)仅用于本地开发和测试,不参与运行时逻辑。它们通常:
- 包含大量未加固的调试工具或反射类,可能被恶意利用(例如暴露
symfony/var-dumper的敏感数据格式化能力) - 引入额外的自动加载路径和类映射,拖慢 PHP 的类加载性能
- 增加
vendor/目录体积(常达 30%~50%),延长部署时间和镜像构建时间 - 带来不必要的 CVE 风险——比如一个过时的
phpunit/phpunit不会运行在生产,但若被意外 require 或通过反序列化链触发,仍可能成为攻击面
正确执行方式(CI/CD 和手动部署)
不要只在本地运行 composer install --no-dev 后把整个 vendor/ 推到服务器。应始终在目标环境(或同构构建环境)中执行:
- CI 流水线中:在构建阶段使用
composer install --no-dev --optimize-autoloader --classmap-authoritative - Docker 构建中:确保
COMPOSER_DEV=false环境变量生效,或直接写死命令,避免因composer.json中"config": {"platform": {"ext-xdebug": "3.0"}}等干扰项导致 dev 包意外安装 - 手动部署时:先清空旧
vendor/,再运行完整命令(含优化参数),不复用本地已安装的 vendor
配合其他关键参数才真正安全高效
--no-dev 单独使用不够。务必组合以下参数:
-
--optimize-autoloader:生成扁平化的autoload_classmap.php,跳过 PSR-4 动态查找,提升类加载速度 -
--classmap-authoritative:告诉 Autoloader “所有类都在 classmap 里”,彻底禁用文件系统扫描,进一步提速并防止未声明类被意外加载 -
--no-scripts(可选但推荐):跳过post-install-cmd等脚本,避免执行开发向命令(如生成 debug 路由、清除测试缓存等) - 确保
composer.lock已提交且未被忽略——这是锁定依赖版本、防止线上行为漂移的基础
验证是否生效的简单方法
部署后快速检查:
- 运行
ls vendor/ | grep -E '^(phpunit|phpstan|pest|mockery|symfony\/debug|laravel\/telescope)',结果应为空 - 查看
vendor/composer/autoload_classmap.php大小,明显大于未优化时说明 classmap 生效 - 在代码中临时调用
class_exists('PHPUnit\Framework\TestCase'),应返回false
不复杂但容易忽略——--no-dev 是生产部署的起点,不是终点。配合优化参数和严格验证,才能兼顾安全与性能底线。
