composer如何查看包的依赖图_可视化查看复杂依赖关系【技巧】

composer show --tree 是查看已安装依赖树的轻量命令，仅显示 vendor/ 中实际存在的包；需先执行 composer install/update 才能反映新添加的依赖，配合 -p、--no-dev 等参数可精准过滤，复杂场景推荐用 composer-dependency-graph 生成可视化图。

composer show --tree 查看当前项目的依赖树

直接运行 composer show --tree 是最轻量的方式，它会递归展开所有已安装包及其依赖，层级缩进清晰。注意：这个命令只显示已安装的包（即 vendor/ 中实际存在的），如果某包被 require 但尚未 install 或 update，不会出现在结果里。

常见误操作是刚改完 composer.json 就执行该命令，结果发现新添加的包没出现——这时先跑一遍 composer update 或 composer install。

• 加 -p 参数可只显示指定包的依赖子树，比如 composer show --tree -p monolog/monolog
• 加 --no-dev 可排除开发依赖，让主干依赖更干净
• 输出可能很长，建议配合 less 或重定向到文件：composer show --tree | less

用 graphviz + composer-dependency-graph 生成可视化图

纯文本树状结构对复杂项目（尤其是含循环引用、多版本共存、大量 dev-require）很快失效。真正能看清依赖关系的，是 SVG/PNG 图形。官方不提供图形化工具，但社区有稳定方案：composer-dependency-graph。

它底层调用 Graphviz 的 dot 命令渲染，所以必须先装 Graphviz（macOS 用 brew install graphviz，Ubuntu 用 apt install graphviz）。

composer global require "mablae/composer-dependency-graph"
composer-dependency-graph --format=png --output=deps.png

生成的 deps.png 会包含所有包节点和依赖箭头。默认图会非常密，实用技巧：

• 用 --only=prod 过滤掉 require-dev 包
• 用 --exclude=phpunit,phpstan 手动屏蔽干扰项
• 若报错 failed to execute dot，说明 dot 不在 $PATH，需检查 Graphviz 安装路径并加入环境变量

为什么 vendor/composer/installed.json 不适合人工分析依赖？

有人试图直接读取 vendor/composer/installed.json 来写脚本解析依赖，这容易踩坑。因为该文件只记录每个包的 direct requires（即 composer.json 里写的那层），不包含 transitive dependencies 的实际解析结果——Composer 在安装时会做版本合并、冲突解决、平台约束裁剪，这些逻辑只存在于 composer.lock 和内存解析器中。

换句话说：installed.json 是“快照”，不是“拓扑”。想还原真实依赖图，必须走 Composer 的内部解析器（如 show --tree）或 lock 文件驱动的工具（如上述 graph 工具）。

• composer.lock 的 packages 字段才是最终安装清单，含完整 require 映射
• 手动解析 lock 文件要注意：packages-dev 是分离的，且某些包可能被 platform config（如 ext-curl）动态过滤掉
• 不要信任 composer show 单包输出里的 require 列表——它展示的是该包元数据声明的依赖，未必是当前项目实际加载的版本

dev-master / unstable 版本会让依赖图变得不可靠

当你在 composer.json 中使用 "monolog/monolog": "dev-master" 或 "^2.0@dev" 这类不稳定版本约束时，composer show --tree 和图形化工具有可能漏掉部分依赖，或显示过时的 require 关系。原因是 dev 分支的 composer.json 可能频繁变更，而 Composer 默认缓存 dist 包元数据，不一定实时 fetch。

验证方法：删掉 vendor/ 和 composer.lock，执行 composer install --no-cache，再重新生成图。如果图结构突变，大概率是 unstable 版本导致元数据不一致。

• 生产环境应避免使用 @dev 约束，改用具体 commit hash 或稳定版本号
• CI 流程中生成依赖图时，建议加 --prefer-dist 并固定 COMPOSER_CACHE_DIR 路径，减少缓存干扰
• graphviz 渲染时若出现节点重叠严重、文字挤在一起，不是工具问题，而是依赖太密——这时候与其调 layout 参数，不如先用 --exclude 剥离无关包

依赖图不是静态快照，它是 Composer 解析器在特定 lock 文件、PHP 版本、平台扩展、甚至 config.platform 配置下的一次性快照。每次 composer update 后，图都应该重生成。最常被忽略的，是没意识到 platform 配置会静默移除某些包——比如设了 "config": {"platform": {"php": "8.1"}}，那所有要求 PHP 8.2+ 的包都不会进入图中，哪怕它们还躺在 composer.json 里。