require 中的包在所有环境安装,require-dev 中的包仅开发/CI 时安装,生产需用 --no-dev 参数跳过;autoload-dev 仅影响开发环境自动加载路径,不改变安装行为。
require 和 require-dev 的本质区别
它们控制的是依赖包的安装时机,而不是功能差异。所有 require 中的包在任何环境(开发、测试、生产)下都会被安装;而 require-dev 中的包只在本地开发或 CI 构建时默认安装,生产部署时应跳过。
生产环境如何避免安装 require-dev 依赖
关键不是“删掉”或“注释”,而是用 --no-dev 参数控制安装行为。不加这个参数,composer install 或 composer update 默认会装上全部依赖。
-
composer install --no-dev:仅安装require列表中的包,且跳过autoload-dev配置 -
composer update --no-dev:更新时也不拉取require-dev中的包及其子依赖 - CI/CD 脚本或 Dockerfile 中必须显式带上
--no-dev,否则容易把 phpunit、phpstan 这类工具打进生产镜像
autoload-dev 与自动加载路径的关系
require-dev 包本身不会自动加载,但它的代码路径常通过 autoload-dev 注册到开发环境的自动加载器中。这点容易混淆——它和是否安装无关,只影响 vendor/autoload.php 在开发时能否找到测试类。
{
"autoload": {
"psr-4": { "App\\": "src/" }
},
"autoload-dev": {
"psr-4": { "App\\Tests\\": "tests/" }
},
"require": { "monolog/monolog": "^2.0" },
"require-dev": { "phpunit/phpunit": "^9.0" }
}
上面配置中:phpunit 不会在生产安装,tests/ 下的类也不会被生产环境的 autoload.php 加载——哪怕你手动把 tests 目录放上去,也没注册进自动加载映射。
常见误操作与后果
很多人以为只要不写 require-dev 就安全了,其实更危险的是:没加 --no-dev,又没清理 vendor/bin 下的 dev 工具脚本。
- 忘记
--no-dev→ 生产容器里多出几十 MB 的 phpunit、faker、symfony/var-dumper 等,还可能暴露调试接口 - 用
composer dump-autoload --optimize但没加--no-dev→ 生成的优化类映射仍包含测试代码路径,增大 autoload 文件体积 - 在生产执行
composer install时不指定--no-dev,且composer.lock里记录了 dev 包 → 它们照样会被装上
真正隔离生产依赖,靠的不是删配置,而是构建流程中对 --no-dev 的强制约束,以及对 lock 文件中 dev 包记录的警惕。
