composer 2.5.0+ 已彻底移除 self-update 命令,必须通过官方安装脚本覆盖重装,该脚本内置 sha-384 和 gpg 双重校验以确保二进制安全可信。
composer self-update 已失效:2.5.0+ 版本不再支持该命令
如果你运行 composer self-update 却收到 Command "self-update" is not defined,这不是权限或网络问题,而是官方从 Composer 2.5.0 起彻底移除了这个命令。它不是“坏了”,是被主动废弃了——Composer 团队改用「重装式更新」统一管理二进制生命周期。
这意味着你不能再“升级”一个已存在的 composer.phar,只能用新版本覆盖旧文件。所有依赖签名验证、SHA-384 校验、安装路径控制等逻辑,现在都收束到官方安装脚本里。
- 执行
composer --version,若显示2.5.0或更高(如2.7.7),说明你当前已是新版,但旧命令已不可用 - 若仍显示
1.x(如1.10.22),必须重装,self-update对 v1 完全无效 - 某些 Docker 镜像或宝塔面板预装的 Composer 可能是硬链接或静态二进制,
self-update必然失败,别白试
正确更新方式:用官方安装脚本覆盖重装
安全、可靠、带完整校验的更新,只有一条路:下载并执行官方安装器。它会自动校验 SHA-384 签名,确保你拿到的是未篡改的正版二进制。
推荐命令(Linux/macOS):
php -r "copy('https://getcomposer.org/installer', 'composer-setup.php');"
php -r "if (hash_file('sha384', 'composer-setup.php') === 'dac665fdc30fdd8ec78b38b9800061b4150413ff2e3b6f88543c636f7cd84f6db9189d43a81e5503cda447da73c7e5b6dc97f') { echo 'Installer verified'; } else { echo 'Installer corrupt'; unlink('composer-setup.php'); } echo PHP_EOL;"
sudo php composer-setup.php --install-dir=/usr/local/bin --filename=composer
php -r "unlink('composer-setup.php');"简写版(适合信任环境,跳过手动校验):
curl -sS https://getcomposer.org/installer | php -- --filename=composer --install-dir=/usr/local/bin
-
--install-dir必须是你$PATH中的可写目录;若无 sudo 权限,改用--install-dir=$HOME/bin并确保该路径已加入$PATH - Windows 用户请用管理员权限运行 PowerShell,命令类似,但路径用
C:\ProgramData\ComposerSetup\bin等用户可写位置 - 国内用户若卡在
curl或copy(),可先设置镜像源临时加速:export COMPOSER_HOME=~/.composer,再运行上述命令
为什么不能手动下载 composer.phar 直接替换?
有人图省事,直接去官网下载 composer.phar 放进 /usr/local/bin,这很危险。因为官方不再提供独立、带签名的 .phar 文件下载入口;你从非脚本渠道拿到的文件,无法验证是否被中间人篡改或镜像源污染。
而官方安装脚本内建了两层防护:
- 下载的
installer自身有硬编码 SHA-384 值校验(见上例中那串长哈希) - 安装器再从 CDN 下载最终
composer.phar,并用 GPG 公钥二次签名验证(Composer 2.2+ 默认启用) - 跳过任一环,就等于放弃供应链安全底线
尤其在 CI/CD 流水线或共享服务器上,用未校验的二进制可能引入隐蔽风险。
更新后必须验证的三件事
重装完别急着跑项目,先确认三个关键点是否对齐:
- 运行
composer --version,输出应为Composer version 2.7.x或更高;若仍是1.x,说明你调用的不是新装的二进制 - 运行
which composer,看路径是否和--install-dir一致;多个 Composer 共存时(如 Homebrew + 手动安装),容易调错 - 运行
hash -d composer(bash/zsh)或重启终端,否则 shell 可能缓存旧路径,导致composer --version和which composer显示不一致
跨大版本(如从 v1 升 v2,或未来 v2 升 v3)后,首次运行 composer install 可能报 The lock file does not contain require-dev information —— 这是因为 v3 移除了 content-hash 字段,需删掉 composer.lock 重建。但这是后续问题,先确保你用的是正确的、校验过的二进制。
