composer install 跳过测试版包需设 minimum-stability: stable,但显式声明如 "pkg": "dev-main" 仍会安装;真正限制依赖版本的是显式写法与仓库实际存在性,而非仅靠 minimum-stability。
composer install 时跳过测试版包?先看 minimum-stability 实际作用
minimum-stability 不是“黑名单”,而是“默认准入门槛”。它不阻止你装 dev-main 或 alpha,只是让 Composer 默认只接受等于或更稳定的版本。比如设为 stable,但你显式写 "monolog/monolog": "dev-main",照样能装——前提是仓库里真有这个分支且没被 require-dev 或 platform 拦住。
常见错误现象:Could not find package xxx with stability dev,其实不是稳定性配置错了,而是该包在 packagist.org 上根本没发布过 dev- 分支,或者你用的源(比如私仓)没同步该分支。
- 默认值是
stable,不是dev;改它之前先确认你真需要全局放宽 - 项目级设置写在
composer.json根对象里;全局设置走composer config -g minimum-stability dev,但不推荐 - 它只影响「未显式声明稳定性」的依赖,比如写
"foo/bar": "^2.0"才会受它约束;写"foo/bar": "dev-feature/x"就完全绕过它
要装一个测试版包,require 里怎么写才靠谱
直接写分支名或预发布版本号最稳,别依赖 minimum-stability 去“碰运气”。Composer 解析版本时,dev- 前缀优先级高于 alpha/beta/rc,但必须对应远程仓库真实存在的分支或 tag。
使用场景:你想试某个 PR 的改动、等正式版前验证修复、或内部组件还没打稳定 tag。
- 装 GitHub 分支:
"vendor/pkg": "dev-main"或"vendor/pkg": "dev-fix/auth-bug" - 装带 commit hash 的 dev 版:
"vendor/pkg": "dev-main#abc1234"(注意是#不是@) - 装 alpha/beta:
"vendor/pkg": "2.1.0-beta1",前提是 packagist 已索引该 tag;2.1.0@beta是错的写法 - 如果报
Could not find a version of package xxx matching your minimum-stability,先composer show vendor/pkg看它到底有哪些版本可选
prefer-stable 和 minimum-stability 一起用,为什么还是装了 dev 包?
prefer-stable: true 只在“多个满足条件的版本共存”时起作用,比如你写 "monolog/monolog": "^3.0",而它既有 3.0.0 又有 3.1.0-RC1,Composer 才会选 3.0.0。但它不阻止你显式要求 dev-main,也不影响其他包因依赖传递带进来的 dev 版本。
性能影响:开启 prefer-stable 会让 Composer 多查一轮可用版本,对 lock 文件生成速度影响微乎其微;但若大量包处于 pre-release 状态,可能拖慢 update 过程。
-
prefer-stable是布尔值,只能true或false,不能设成字符串 - 它和
minimum-stability是正交配置:一个管“选哪个”,一个管“哪些能进候选池” - 私有包若没打任何 stable tag,即使
prefer-stable开着,也只会装到dev-分支——因为没得选
CI 环境下装 dev 依赖失败?检查 config.allow-plugins 和平台配置
Composer 2.2+ 默认禁用未声明插件,而很多 dev 分支依赖的自定义安装器(比如处理 path repo 或私有 zip 包)会触发插件。另外,platform 配置若与 dev 包的 PHP/扩展要求冲突,也会静默失败。
常见错误现象:require 成功但 autoload 不生效、类找不到、composer update 卡住无报错。
- 运行前加
COMPOSER_ALLOW_PLUGINS=1(CI 中建议显式设,而非改composer.json) - 确认
config.platform.php版本 ≥ dev 包所要求的最低 PHP 版本,否则update会跳过它 - 私仓场景下,
repositories类型必须匹配:用path就别指望 packagist 自动发现dev-分支;要用vcs并确保 URL 可访问 - 执行
composer update --with-dependencies时,如果某个 dev 包被其他稳定包依赖,它仍可能被拉入,别以为写了minimum-stability: stable就万事大吉
稳定性配置真正复杂的地方不在语法,而在依赖树里那些隐式引入的 dev 版本——它们往往来自你没直接 require 的二级依赖,排查时得一层层 composer depends 往上翻。
