Composer 中的 install 和 update 命令有什么核心区别？

composer install 严格按 composer.lock 安装，结果可预测、速度快，适用于部署和初始化；composer update 忽略 lock 文件，重新解析依赖并更新 lock，耗时长且有风险，仅用于开发阶段主动升级依赖。

核心区别就一条：是否尊重 composer.lock 文件。

composer install：照单抓药

它默认只读取 composer.lock，按里面写死的版本号下载安装。所有包的版本、哈希值、源地址都已确定，跳过依赖解析，直接批量下载解压。

• 有 lock 文件 → 严格按它装，结果完全可预测
• 没 lock 文件 → 退化为首次解析 composer.json，生成新 lock
• 不改 lock，只读不写
• 速度快，适合部署、CI/CD、新人拉代码后初始化

composer update：刷新处方

它主动忽略 composer.lock，重新扫描 composer.json 的版本约束（比如 ^2.1 或 dev-main），联网查最新可用版本，跑依赖求解器，找出满足全部约束的最新组合。

• 强制重算依赖树，可能引入新版本、新冲突、甚至破坏性变更
• 一定会更新 composer.lock，记录新版本快照
• 耗时长，涉及大量网络请求和 CPU 计算
• 只应在开发阶段主动发起，且需配套测试验证

什么时候该用哪个？

日常协作和上线部署一律用 install；只有明确要升级依赖（比如修安全漏洞、用新 API）才运行 update，并及时提交更新后的 composer.lock 到 Git。

标签： js git json composer ai 解压 区别