composer中require-dev开发依赖如何不安装到生产环境_composer技巧【指南】

生产环境部署必须使用 composer install --no-dev，否则会安装 require-dev 依赖造成资源浪费和安全风险；需配合 --optimize-autoloader 和 --classmap-authoritative，并验证 vendor 中无 phpunit 等 dev 包。

生产环境部署时跳过 require-dev 依赖

默认情况下 composer install 会安装 require 和 require-dev 下的所有包，这在生产环境不仅浪费资源，还可能引入安全风险或冲突。关键不是“删掉 dev 依赖”，而是让 Composer 明确知道“现在不需要它们”。

• 上线部署务必使用 composer install --no-dev，这是最直接、最可靠的方式
• 如果项目已运行过 composer install（含 dev 包），再执行 --no-dev 不会自动卸载已有 dev 包——必须先删掉 vendor/ 或用 composer update --no-dev
• composer install 读取的是 composer.lock，只要 lock 文件里记录了 dev 包，不加 --no-dev 就仍会装；而 composer update --no-dev 会更新 lock 文件，剔除 dev 包的记录

CI/CD 流水线中确保 --no-dev 生效

很多线上部署失败，是因为 CI 脚本用了 composer install 却没加 --no-dev，或者误用了 composer require（它默认写入 require，但加 -d 会写入 require-dev，且不带 --no-dev 的 install 仍会装）。

• 流水线脚本中固定写死：composer install --no-dev --optimize-autoloader --classmap-authoritative
• 避免在生产环境运行 composer update —— 它会重写 composer.lock，可能意外拉入新 dev 包
• 检查 COMPOSER_NO_DEV 环境变量：设为 1 可全局禁用 dev 包（但不如显式加 --no-dev 直观，容易被忽略）

如何验证生产环境真没装 dev 依赖

光靠命令不够，得看结果。常见误判是看到 vendor/autoload.php 还在，就以为一切正常——其实 autoload 本身不暴露是否加载了 dev 包。

• 检查 vendor/ 目录下是否存在明显属于 dev 的包，比如 phpunit/phpunit、mockery/mockery、symfony/var-dumper（非框架主包时）
• 运行 composer show --dev —— 如果提示 “No dependencies in require-dev” 或直接报错 “Command 'show' is not defined”，说明 dev 包确实未安装
• 注意：有些包同时出现在 require 和 require-dev（如 psr/log），这时它仍会被装，属正常行为

composer show --dev
# 输出为空或提示无 dev 依赖，才表示 clean

require-dev 里的工具类包要小心 runtime 依赖

像 phpstan/phpstan、infection/infection 这类静态分析工具，通常只在 CI 中调用，但如果代码里写了 class_exists('PHPStan\...') 或通过 class_alias 动态引用，运行时就会抛出 Class not found 错误——哪怕你加了 --no-dev。

• 所有对 dev 包的运行时调用，必须包裹 class_exists() 或 interface_exists() 判断
• 不要在生产代码的 use 语句中直接引用 dev 包的类（PHP 会在解析阶段报错）
• 如果某包既提供 CLI 工具又提供运行时功能（如 symfony/console），确认它是否真的只用于开发：若是框架核心组件，应移入 require

真正容易被忽略的点是：--no-dev 只控制安装，不改变代码逻辑