正确参数是 --no-dev,需在 composer install 或 update 时显式指定,它跳过 require-dev 中的包安装,节省空间并避免安全误报,但不改变 autoload-dev 映射。
composer install 时跳过 dev-dependencies 的正确参数
生产环境部署时,vendor 目录里混入 phpunit、mockery、phpstan 这类开发依赖,不仅浪费磁盘空间,还可能引入意外的自动加载或安全扫描误报。核心解法是明确告诉 Composer:只装 require 里的东西,别碰 require-dev。
必须用 --no-dev 参数,且它只在 install 和 update 时生效:
composer install --no-dev
注意:--no-dev 不会影响 autoload-dev 的注册(即不会自动删掉测试类的 PSR-4 映射),但那些包本身不会被下载和安装,所以 autoload 部分实际无效——这点常被忽略。
- CI/CD 流水线中务必加
--no-dev,否则构建镜像体积可能多出 30–50MB -
composer update --no-dev会清掉已安装的 dev 包,但不会重写composer.lock中的 dev 依赖记录 - 如果项目用了
config.platform模拟 PHP 版本,--no-dev下它依然生效,不影响兼容性判断
如何永久禁用 dev 依赖(不靠每次加参数)
没有“永久关闭”的全局开关,但可通过配置让 install 默认跳过 dev 包。关键在 composer.json 的 config 段:
"config": {
"platform-check": false,
"preferred-install": "dist",
"sort-packages": true,
"allow-plugins": {
"dealerdirect/phpcodesniffer-composer-installer": true
}
}
上面这段本身不控制 dev 行为。真正起效的是环境变量或项目级配置:
- 在部署机上设
COMPOSER_NO_DEV=1,之后所有composer install自动带上--no-dev - 或在项目根目录放
composer.json同级的composer.local.json(需配合插件),但原生不支持,不推荐 - 更稳妥的做法:把
composer install --no-dev写进部署脚本或 Dockerfile,不依赖环境变量
别信某些博客说改 minimum-stability 或删 require-dev 能“一劳永逸”——前者无关,后者直接破坏本地开发。
vendor 目录仍很大?检查这些隐藏膨胀源
即使用了 --no-dev,vendor 仍可能超预期,常见原因不是依赖本身,而是缓存、文档、测试文件残留:
- 部分包(如
symfony/console)自带/Tests、/Resources/doc目录,Composer 默认全量下载 -
composer install会在vendor/composer下生成大量installed.json、autoload_classmap.php等元数据,无法跳过 - 某些包通过
extra.zend-loader或自定义脚本注入额外文件,需查其composer.json的scripts和extra
若确定不需要文档和测试,可启用 archive 功能(仅限私有包或 Satis 镜像),或用第三方工具如 composer-cleaner ——但务必先验证是否影响运行时反射或注解解析。
CI 中 vendor 缓存与 --no-dev 的协作要点
GitHub Actions、GitLab CI 常用 cache 步骤缓存 vendor,但如果缓存包含 dev 包,后续用 --no-dev 安装时 Composer 不会清理旧文件,导致 vendor 越积越多。
根本解法是让缓存键(key)显式区分 dev 状态:
key: ${{ runner.os }}-composer-${{ hashFiles('**/composer.lock') }}-no-dev
同时确保 restore-keys 不匹配带 dev 的旧缓存。否则看似用了 --no-dev,实际加载的仍是全量 vendor 快照。
另一个坑:composer install --no-dev 在已有 vendor 时默认执行 update 式检查,可能触发意外的版本重算。加 --prefer-dist --no-progress 可提速并减少干扰。
