composer depends 查不到包是因为包名必须精确匹配,包括大小写和连字符;需用 composer show 列出已安装包并复制完整名称,或通过 composer search 查未安装包。
composer depends 查不到包?先确认包名是否精确匹配
直接运行 composer depends vendor/package-name 报错 “Package not found” 是最常见问题。Composer 不支持模糊搜索或别名,vendor/package-name 必须和 composer.json 中声明的完全一致(包括大小写、连字符)。比如你想查 monolog/monolog,但写成 monolog 或 Monolog/monolog 都会失败。
实操建议:
- 用
composer show列出已安装包,复制完整名称(例如symfony/console) - 若不确定是否已安装,加
--tree参数可显示所有依赖层级:composer show --tree - 想查未安装但可被依赖的包?
composer depends无此能力,需改用composer search或访问 packagist.org
composer depends --tree 显示的是“谁依赖我”,不是“我依赖谁”
composer depends 的核心逻辑是反向依赖分析:它回答“当前项目中哪些包把目标包作为依赖引入”。这和 composer show --tree 的正向树形展示(从 root 往下展开)完全不同。比如执行 composer depends symfony/event-dispatcher,输出的是类似:
myapp/myproject
└── symfony/console v6.4.0
└── symfony/event-dispatcher v6.4.0
说明 symfony/console 直接依赖了它,而你的项目又依赖了 symfony/console。
注意点:
- 默认只显示直接依赖链,不会列出间接传递依赖(如 A→B→C,但 C 没有被 A 显式 require)
- 如果目标包是 root 项目自身 require 的,
composer depends会显示myapp/myproject作为顶层节点 - 加
-t(即--tree)才会展开层级;不加则只列一级依赖包名
如何看到某个包被哪些版本组合间接引用?
Composer 默认不显示版本冲突或隐式约束来源,但 composer depends 可配合 --why(简写 -w)揭示具体 require 规则。例如:
composer depends -w guzzlehttp/psr7
可能输出:
myapp/myproject requires guzzlehttp/guzzle (^7.2) guzzlehttp/guzzle requires guzzlehttp/psr7 (^1.8 || ^2.0)
这意味着:你项目要求 guzzlehttp/guzzle,而它的 composer.json 声明了对 guzzlehttp/psr7 的兼容范围。这就是间接引用的源头。
关键区别:
-
--tree展示结构路径 -
--why展示约束链条(require 关系 + 版本范围) - 两者可同时使用:
composer depends -t -w vendor/package,但输出较冗长,适合调试冲突
依赖图太深看不清?用 grep 或脚本过滤关键路径
大型项目跑 composer depends --tree 可能输出几十行,真正关心的只是某几个包(比如 laravel/framework 或 doctrine/dbal)。与其肉眼扫描,不如用 shell 过滤:
Linux/macOS:
composer depends --tree symfony/http-kernel | grep -E "^(├|└|─|│)|symfony/"
Windows PowerShell:
composer depends --tree symfony/http-kernel | Select-String "^(├|└|─|│)|symfony/"
更实用的技巧:
- 导出为文本再搜索:
composer depends --tree vendor/pkg > deps.txt - 若要统计某包被多少个顶级包引用,用
composer depends vendor/pkg | wc -l(Linux/macOS) - 注意:所有过滤操作都基于 Composer 当前 lock 文件状态,
composer update后结果可能变化
真正容易被忽略的是:依赖图反映的是 lock 文件快照,不是实时解析。如果你刚修改了 composer.json 但没 install 或 update,depends 结果不会包含新声明的依赖。
