如何高效利用Composer构建项目依赖清单?
- 内容介绍
- 文章标签
- 相关推荐
本文共计1029个文字,预计阅读时间需要5分钟。
依赖清晰+✨+安全报告。
您真正需要的可能是可读、可存档、可用于人工复现或对接的包列表。
直接使用命令:
-
composer show:默认列出所有 require + require-dev 包,格式为vendor/name version description -
composer show --installed-only:只显示实际存在于vendor/中的包(排除因--no-dev被跳过的 dev 包) -
composer show -N:仅输出包名(适合管道处理,如composer show -N | sort > deps.txt) -
composer show --tree:展示依赖树,能看清谁依赖了谁,但输出较冗长,不适合归档 - 想导出 JSON 便于脚本解析?用
composer show --format=json,字段包含name、version、source、dist等,但不含安全状态
为什么不用 composer audit 来“生成清单”
很多人误以为 composer audit 会先列一遍包再标红漏洞——其实它根本不输出完整包列表。它的输出只有两部分:advisories(有漏洞的条目)或空结果。
本文共计1029个文字,预计阅读时间需要5分钟。
依赖清晰+✨+安全报告。
您真正需要的可能是可读、可存档、可用于人工复现或对接的包列表。
直接使用命令:
-
composer show:默认列出所有 require + require-dev 包,格式为vendor/name version description -
composer show --installed-only:只显示实际存在于vendor/中的包(排除因--no-dev被跳过的 dev 包) -
composer show -N:仅输出包名(适合管道处理,如composer show -N | sort > deps.txt) -
composer show --tree:展示依赖树,能看清谁依赖了谁,但输出较冗长,不适合归档 - 想导出 JSON 便于脚本解析?用
composer show --format=json,字段包含name、version、source、dist等,但不含安全状态
为什么不用 composer audit 来“生成清单”
很多人误以为 composer audit 会先列一遍包再标红漏洞——其实它根本不输出完整包列表。它的输出只有两部分:advisories(有漏洞的条目)或空结果。