在CI中优先使用composer install,因其通过composer.lock确保依赖一致性、提升构建速度并遵循职责分离原则,保证构建可预测、高效且可靠。
在持续集成(CI)环境中,composer install 比 composer update 更受欢迎,主要原因在于可预测性、一致性和构建速度。CI 的核心目标是快速、可靠地验证代码变更,而 composer install 更好地支持这一目标。
依赖锁定确保环境一致性
Composer 通过 composer.lock 文件锁定已安装的依赖版本。这个文件记录了当前项目所有依赖及其子依赖的确切版本。
-
composer install会读取composer.lock并安装其中指定的精确版本,保证每次 CI 构建使用的依赖完全一致。 -
composer update会忽略 lock 文件,根据composer.json中的版本约束重新解析最新兼容版本,可能导致每次构建使用不同的依赖组合。
如果 CI 使用 update,即使代码未变,也可能因为第三方包更新而引入潜在不兼容或 bug,导致“非代码变更引发的构建失败”,破坏 CI 的可靠性。
提升构建速度
CI 环境通常从零开始搭建,依赖需要重新下载。
-
composer install直接按 lock 文件安装,无需版本解析,过程更快更稳定。 -
composer update需要连接远程仓库,递归分析所有依赖的最新兼容版本,耗时更长,增加 CI 等待时间。
在频繁运行的 CI 流程中,节省几秒到几十秒对开发效率和反馈速度有明显影响。
符合职责分离原则
更新依赖是一个需要人工审查的操作,应由开发者在本地完成:
- 开发者运行
composer update,测试新依赖是否影响功能,确认无误后提交新的composer.lock。 - CI 只需执行
composer install来还原开发者确认过的依赖状态,验证当前代码能否正常工作。
这样就把“引入变更”和“验证变更”分开,避免 CI 成为意外升级的触发点。
基本上就这些。在 CI 中使用 composer install 是为了确保每次构建基于确定的依赖状态,让结果可重复、可预测,也更高效。更新依赖应作为显式、受控的操作,而不是自动化流程中的隐式行为。
