composer bumps 命令不存在,实际可用命令是 composer versions:check;该插件仅诊断依赖版本过时、安全风险及语义化不一致问题,不执行自动更新。
composer bumps 命令本身并不存在 —— composer-versions-check 插件没有提供名为 bumps 的命令。
实际可用的命令是 composer versions:check
该插件(roave/composer-versions-check)核心功能是**检查依赖版本是否过时、是否存在安全风险或语义化版本不一致问题**,它不执行自动更新操作。它只做“诊断”,不做“治疗”。
如何用它辅助批量更新依赖?
虽然不能一键升级,但你可以结合它的输出,高效、安全地批量更新:
- 运行
composer versions:check --outdated查看所有可升级的包(含当前/最新稳定版) - 加
--security参数优先识别有已知漏洞的包(需配合composer audit或安全数据库) - 加
--major显示可能含破坏性变更的大版本更新(帮助你评估风险) - 结果中带
^或~的包,通常可通过composer update vendor/package安全升级 - 想批量升级所有可兼容更新?直接运行
composer update(遵守composer.json中的约束)
真正批量更新的推荐做法
如果目标是安全、可控地批量更新依赖,更实用的组合是:
-
composer outdated --direct:只看项目直连依赖,减少干扰 -
composer update --dry-run:预览将更新哪些包,不实际写入 -
composer update vendor1/pkg1 vendor2/pkg2:指定多个包名一次更新(支持通配符如monolog/*) - 配合
--with-dependencies确保子依赖同步适配
基本上就这些 —— 别被 bumps 这个名字误导了,它不是 composer 内置命令,也不是 composer-versions-check 的功能。专注用好 versions:check 做判断,再用原生 composer update 执行,最稳。
