composer outdated --direct 实际显示项目 composer.json 中直接声明的包的可更新版本(含次版本、补丁版本),但仅限未被 composer.lock 锁死且满足当前版本约束的包,不包含传递依赖。
composer outdated --direct 的实际效果是什么
composer outdated --direct 并不会「只显示直接依赖」,它显示的是 所有已安装包中,被当前项目 composer.json 直接声明的那些包 的可更新版本(含次版本、补丁版本),但前提是这些包本身没有被 composer.lock 锁死到不可升级的范围。
也就是说:它过滤掉的是「传递依赖」(比如 monolog/monolog 是 symfony/console 的子依赖),但不跳过因 require-dev 或 require 显式声明却因版本约束太宽而存在多个可选升级路径的包。
为什么有时看不到预期的更新项
常见原因包括:
-
composer.lock已锁定某个包在较旧版本,且composer.json中的版本约束(如"^2.4")仍满足该旧版 ——outdated默认不提示「锁内版本符合约束但有更高兼容版本」 - 你运行了
composer outdated --direct --minor-only或--patch-only,但目标包只有major更新(如从3.2.1→4.0.0),此时默认不显示 - 包已标记为
"minimum-stability": "stable",但可用更新是RC或beta,默认被忽略 -
本地仓库未同步远程元数据,导致无法比对最新版本 —— 可先运行
composer update --dry-run --no-install触发元数据刷新
如何真正只看「可安全升级的直接依赖」
推荐组合使用参数,逼近真实需求:
composer outdated --direct --minor-only --with-dependencies
说明:
-
--direct:仅限composer.json顶层require和require-dev声明的包 -
--minor-only:只显示minor(如2.4.x → 2.5.x)和patch(2.4.1 → 2.4.2)更新,排除major断层升级 -
--with-dependencies:强制检查这些直接依赖的子依赖是否也存在兼容更新(避免升级后引发子依赖冲突)
如果想包含 dev 分支或预发布版本,加 --all;若只想看 require(不含 dev),加 --no-dev。
替代方案:用 composer show + grep 快速定位
当 outdated 输出太多干扰项时,可手动核对:
composer show --direct | grep -E '^(laravel/framework|guzzlehttp/guzzle|monolog/monolog) '
再配合 composer show vendor/package 查具体版本与 latest tag:
composer show symfony/http-kernel
注意:composer show 输出中的 versions 行末尾带 * 的,表示当前安装版本不是最新稳定版 —— 这个标记比 outdated 更直白,也绕过了 lock 文件的缓存影响。
真正容易被忽略的是:即使 --direct 生效,Composer 仍会受 platform 配置(如 "php": "8.1")和 config.platform 限制,导致某些本可更新的包被过滤掉 —— 检查 composer config platform 是否人为压低了平台版本。
