使用 --no-dev 确保仅安装生产依赖，避免加载开发工具，提升部署效率与安全性。

在生产环境中使用 Composer 时，性能和安全性是关键考量。不恰当的配置或操作可能拖慢部署流程，甚至引入安全风险。以下是优化 Composer 在生产环境中的实用建议。

只安装必要依赖

生产环境不需要开发时的工具，如测试框架、编码规范检查器等。应明确区分生产与开发依赖。

• 使用 composer install --no-dev 命令，避免安装 require-dev 中的包
• composer.json 中的依赖项精确，移除无用的包
• 定期审查依赖树，运行 composer why-unused（如已安装插件）清理冗余包

启用并配置 Composer 缓存

合理利用缓存可显著提升安装速度，减少网络请求。

• 设置系统级缓存目录，例如通过环境变量：export COMPOSER_CACHE_DIR=/var/cache/composer
• 确保该目录有足够权限和磁盘空间
• 在 CI/CD 或部署脚本中复用缓存，避免每次重新下载

锁定依赖版本并验证完整性

保持依赖一致性是安全与稳定的基础。

• 提交 composer.lock 到版本控制，确保所有环境安装相同版本
• 在部署时运行 composer install 而非 update，防止意外升级
• 启用 HTTPS 协议下载包，Composer 默认已支持，确认未被禁用

提升安全性：校验与最小权限

减少攻击面，防止恶意代码注入。

• 定期运行 composer audit（Composer 2.5+）检查已知漏洞
• 避免在生产服务器上执行 composer update
• 以非 root 用户运行 Composer，限制文件系统权限
• 考虑使用 composer install --prefer-dist 优先下载压缩包而非克隆源码