composer-unused 是目前最靠谱的检测未引用包的工具,通过扫描 vendor/ 下 php 源码并反向查找 use/new/class_exists 等调用痕迹,比仅看 autoload 更准确;需注意动态加载、模板/配置引用、di 容器注入等场景的局限性。
composer-unused 能直接查出没被引用的包
它不是 Composer 内置命令,但目前最靠谱的方案。原理是扫描 vendor/ 下所有已安装包的源码(PHP 文件),再反向检查项目里有没有 use、new、class_exists 等实际调用痕迹——比单纯看 autoload 或 require 声明更准。
安装和运行很简单:
composer require --dev phpstan/phpstan composer require --dev composer-unused/composer-unused ./vendor/bin/composer-unused
常见错误现象:Class not found 报错却检测不出?那大概率是运行时动态加载(比如 class_alias、__autoload、或配置文件里写死的类名字符串),这类情况 composer-unused 默认不覆盖,得加 --scan-vendor 或手动加白名单。
- 只对 PHP 代码生效,不会识别 Twig 模板、Blade、配置 YAML 里的类引用
- 如果项目用了 Psalm/PHPStan,建议先跑一遍类型检查,避免误报“未使用”(比如接口实现类没被直接 new,但被 DI 容器注入)
-
composer-unused默认跳过test目录,测试依赖不会被误判为冗余
为什么 vendor/bin/depcheck 不推荐用
depcheck 是个老工具,基于 AST 静态分析,但维护停滞,对 PHP 8+ 类型语法支持差,且默认把所有 require-dev 当冗余——哪怕你用 phpunit 写了 200 个测试,它也会标红。
典型错误现象:DepCheck: Found unused dependency "symfony/console",而你项目里明明有 bin/console 入口文件。原因:它没解析 bin/console 中的 require 链,也不理解 Symfony 的 Application::add() 动态注册命令机制。
- 不兼容 Composer 2.5+ 的插件 API,装上可能让
composer install报Plugin Manager is not available - 无法区分“当前没用”和“框架约定必须存在”,比如 Laravel 的
laravel/tinker在生产环境确实不用,但删了会破坏php artisan tinker命令注册逻辑 - 没有排除路径选项,没法跳过
docker/、scripts/这类非 PHP 执行目录
手动验证前先看 require 和 autoload 是否自相矛盾
很多“冗余”其实是配置写错了。比如 composer.json 里写了:
"require": {
"monolog/monolog": "^2.0"
},
"autoload": {
"psr-4": {
"App\": "src/"
}
}
但 src/ 里压根没出现 MonologLogger,也没任何 use,这时候删包基本安全。可如果 autoload 里有:
"autoload": {
"psr-4": {
"Monolog\": "vendor/monolog/monolog/src/Monolog/"
}
}
那就危险了——你手动把包的命名空间映射进来了,删掉 monolog/monolog 会导致 class not found。
- 执行
composer dump-autoload -o后,检查vendor/composer/autoload_psr4.php里是否真有该包的映射项 - 运行
composer show --tree | grep 包名,确认它是不是被其他依赖间接拉入(比如 A → B → monolog,删 monolog 会让 B 崩) - 搜索整个项目:
grep -r "Monolog\" --include="*.php" .,注意大小写和反斜杠方向
删包后务必验证自动加载和运行时行为
别信“没报错就安全”。有些依赖只在特定条件下触发,比如命令行参数、HTTP 头、或缓存失效时才加载。
最小验证步骤:
- 删包后跑
composer dump-autoload -o,再php -l扫描所有 PHP 文件,确保没语法级依赖残留 - 启动服务(
php artisan serve/symfony server:start),访问首页 + 一个带表单提交的页面 + 一个报错页(触发异常处理器) - 如果有 CLI 命令,挨个执行
php artisan list和几个常用命令,观察是否缺失功能 - 检查日志:
tail -f storage/logs/laravel.log或var/log/dev.log,看有没有Class 'X' not found沉默失败
真正容易被忽略的是条件加载——比如某包只在 APP_ENV=local 时启用调试工具栏,或者只在队列任务里用到。不覆盖全环境跑一遍,删了也白删。
