Composer的config部分有哪些常用配置项？（深度解析）

Composer config 定义行为偏好，影响依赖安装等流程但不改项目逻辑；关键项包括：1. package-versions 控制版本信息生成方式；2. process-timeout 和 xdebug-max-nesting-level 应对超时与递归限制；3. asset-patterns 与 github-protocols 替代废弃插件；4. cache-dir、data-dir 与 secure-http 保障环境复现与安全。

Composer 的 config 部分用于定义本地或全局行为偏好，影响依赖安装、包查找、缓存策略等核心流程。它不改变项目逻辑，但显著影响开发体验和 CI/CD 稳定性。下面分场景讲清最常用、最易被忽略的关键配置项。

package-versions：控制版本号注入方式

该配置决定 composer install 时是否自动生成 vendor/composer/installed.php 中的版本信息，以及是否启用 PackageVersions 兼容格式。

• 默认值为 true：生成完整 installed.php，含每个包的 commit hash、version 字符串、dist/source 类型等
• 设为 false 可跳过生成，适合只读环境或极致瘦身场景（如某些 serverless 函数）
• 设为 "minimal"（字符串）则仅保留必需字段，减小文件体积，兼容旧版 ocramius/package-versions

process-timeout 和 xdebug-max-nesting-level：应对长耗时与深度递归

这两个配置常在 CI 或大型单体项目中触发失败，但错误提示不直观，需提前干预。

• process-timeout：单位秒，默认 300（5 分钟）。Composer 执行脚本（如 post-install-cmd）、git clone、zip 解压超时时会中断。大型私有包或弱网环境建议设为 1200 或更高
• xdebug-max-nesting-level：仅当 Xdebug 启用时生效。Composer 自身解析 composer.json 依赖图可能触发嵌套超限（尤其含大量 replace 或 provide 的项目），设为 512 或 1024 可避免 Fatal error: Maximum function nesting level reached

fxp-asset-plugin 替代方案：asset-patterns 与 github-protocols

虽然 fxp/composer-asset-plugin 已废弃，但前端资源（Bower/NPM 包）集成需求仍在。现代做法通过 config 配合 repositories 实现：

标签： php js 前端 git json docker composer github 处理器 npm ssl 解压