如何在团队中强制执行统一的Composer配置和脚本规范？

统一Composer配置的核心是通过工具链和CI机制让一致成为默认选择：固化config/scripts、用Git钩子校验lock文件、CI中强制验证一致性、提供一键初始化模板。

在团队协作中，统一 Composer 配置和脚本规范的核心不是“强制”，而是通过可落地的机制让一致成为默认选择——靠文档、工具链和 CI 把住关，而不是靠人工提醒或口头约定。

用 composer.json 的 config 和 scripts 字段固化基础规则

把关键配置直接写进项目根目录的 composer.json，避免成员各自修改本地设置。例如：

• 禁用平台配置干扰：设置 "platform": {"php": "8.1.0"}，确保所有环境使用同一 PHP 版本解析依赖
• 统一安装行为：启用 "optimize-autoloader": true 和 "apcu-autoloader": true（如适用），并设 "sort-packages": true 让 require 列表自动排序，减少合并冲突
• 标准化常用脚本：定义 "scripts" 如 "cs-fix": "php-cs-fixer fix"、"test": "vendor/bin/phpunit"，团队只运行 composer test 而非记忆具体命令路径

用 composer.lock + Git 钩子 防止配置绕过

composer.lock 是事实标准，但仅靠它不够。需配合轻量级保护：

• 在项目根目录放一个 .git/hooks/pre-commit（或通过 husky / lefthook 管理），检查是否有人删了 composer.lock 或改了 composer.json 却没更新 lock 文件
• 钩子中运行 composer validate --no-check-publish 确保 JSON 结构合法，再执行 composer update --dry-run 检查是否有未提交的依赖变动
• 不拦截提交，但输出明确提示：“请先运行 composer update 并提交新的 composer.lock”

CI 流程中嵌入 一致性校验 步骤

把规范检查变成 PR 合并前的硬性门槛：

• 在 GitHub Actions / GitLab CI 中添加一步：composer validate --strict（校验字段完整性）、composer show --locked | head -20（快速确认 lock 文件有效）
• 运行 composer install --no-dev --dry-run 验证生产环境安装是否无误，避免因脚本或 require-dev 写错导致线上部署失败
• 若发现 composer.json 与 composer.lock 不匹配，CI 直接失败，并附日志说明 “lock 文件过期，请本地运行 composer update 后重试”

提供一键初始化模板和团队共享脚本

降低新成员上手成本，减少“我不知道该配什么”的随意发挥：

• 维护一个内部 composer-template 包（私有 Packagist 或 Git Submodule），含预设的 scripts、config、autoload 和推荐插件（如 dealerdirect/phpcodesniffer-composer-installer）
• 提供 bin/setup-composer 脚本：自动复制模板配置、安装必需插件、生成初始 lock 文件，并检查 PHP 扩展是否满足要求
• 在 README 中只写一句：“运行 ./bin/setup-composer，然后开始开发”，不解释原理，只给确定动作

基本上就这些。不复杂但容易忽略的是：别指望人记住规范，要把规范变成工具里跑不通的路，和 CI 里过不去的关。团队越早接受“不按这个来，代码就跑不起来”，统一就越自然。