vendor目录庞大的根源是dev依赖和测试/文档等非运行文件;生产环境应使用composer install --no-dev --optimize-autoloader,并用composer-unused扫描未引用包,再通过composer-cleaner或shell命令清理冗余目录。
vendor 目录为什么这么大?根源在 dev 依赖和测试文件
绝大多数项目 vendor 膨胀,不是因为主包本身,而是 composer install 默认拉取了所有 require-dev 依赖(如 phpunit、mockery、phpstan),并且很多包把测试用例(tests/)、文档(docs/)、示例(examples/)甚至 .git 目录一起打包进发行版。这些对线上运行完全无用,但可能占掉 40%–70% 的空间。
安装时跳过 dev 依赖:只在生产环境用 --no-dev
部署到服务器或构建 Docker 镜像时,必须加这个参数,否则白占空间还增加攻击面:
composer install --no-dev --optimize-autoloader
注意:--optimize-autoloader 会生成类映射(classmap),加快自动加载,同时也会排除未声明的文件(比如没在 autoload.files 里写的 .php),属于一箭双雕。
- CI/CD 流水线、Dockerfile 的
RUN composer install行必须带--no-dev -
composer update一般不用于生产,但如果执行,也应加--no-dev防止意外引入开发依赖 - 本地开发仍需
require-dev,所以不要全局删掉composer.json里的require-dev段
用 composer-unused 扫描真正没被引用的包
composer install --no-dev 只是砍掉整块 dev 依赖,但有些 require 包其实项目里根本没调用过(比如历史遗留、临时试用后忘了删)。这时需要静态分析:
composer require --dev composer-unused composer unused
它会扫描全部 PHP 文件,比对 use、new、static:: 等调用痕迹,列出疑似废弃的包。结果要人工核验,尤其注意:
- 运行时动态加载(
class_exists($name)、Container::get())不会被识别 -
配置文件中引用的类(如 Laravel 的
config/app.php)也不会被扫描到 - 删包前先
git grep搜包名,确认没有字符串级依赖
删 vendor 内部冗余目录:用 composer-cleaner 或手动过滤
即使去掉 dev 依赖,单个包(比如 symfony/console)仍自带 Tests/、Resources/、CHANGELOG.md 等非运行必需内容。可借助工具清理:
composer require --dev vaimo/composer-cleaner
# 在 composer.json 中添加清理规则
"extra": {
"vaimo-composer-plugins": {
"cleaner": {
"excludes": ["**/Tests/**", "**/tests/**", "**/Examples/**", "**/*.md", "**/*.txt", "**/.git/**"]
}
}
}或者更轻量——直接用 shell 清理(执行前备份):
find vendor/ -name 'Tests' -type d -exec rm -rf {} +
find vendor/ -name 'tests' -type d -exec rm -rf {} +
find vendor/ -name '*.md' -delete
find vendor/ -name 'CHANGELOG*' -delete⚠️ 注意:phpunit 类包(如 phpunit/phpunit)本身不含 Tests/,但它的依赖(如 sebastian/exporter)常带测试目录;删之前确认该包是否真被 --no-dev 排除了。
最省事的是从一开始就用 --no-dev,最难防的是那些“看起来有用、其实没被调用”的包——它们不会报错,只会悄悄吃掉磁盘和部署时间。
