Composer的--dry-run参数在update时有多重要？（安全预览变更）

--dry-run 是 composer update 的关键安全预览机制，不修改 lock 文件或安装包，却完整展示即将发生的依赖升级、降级、移除及 lock 文件变更，助你提前识别不兼容更新与环境风险。

Composer 的 --dry-run 参数在执行 composer update 时不是“可有可无”的选项，而是关键的安全预览机制——它不真正修改 composer.lock 或安装包，却能完整展示即将发生的依赖变更，帮你提前识别风险。

看清哪些包会被升级、降级或移除

直接运行 composer update 可能悄悄升级次要版本甚至主版本（尤其当 require 使用 ^ 或 ~ 时），而 --dry-run 会清晰列出每一条变动：比如 monolog/monolog 从 v2.8.0 升到 v2.9.1，或者 symfony/http-foundation 因冲突被降级。没有它，你可能直到 CI 失败或线上报错才意识到问题。

避免意外引入不兼容变更

某些包的小版本更新可能包含破坏性改动（如废弃方法、行为调整），官方未必严格遵循语义化版本。用 --dry-run 配合 composer show --outdated，你能交叉比对：哪些更新是计划内的，哪些是传递依赖被动带进来的“幽灵升级”。例如，laravel/framework 更新可能连带升级 nesbot/carbon 到 v3，而你的代码还在调用已移除的 Carbon::now() 静态方法。

确认 lock 文件变更是否符合预期

composer update 的本质是重写 composer.lock。通过 --dry-run，你可以看到 lock 文件中将被修改的哈希、版本号和平台要求（PHP、ext-*）。特别当团队共用 lock 文件时，这个输出就是一次轻量化的“变更评审清单”——比如发现 php 版本约束从 ^8.1 变成了 ^8.2，就得立刻检查是否所有环境已就绪。

标签： php laravel composer 为什么