composer.lock：它是如何工作的？

Question

我正在尝试理解这部分：http://getcomposer.org/doc/02-libraries.md#lock-file

这个锁文件不会对其他依赖它的项目产生任何影响。只对主项目有影响”

这是否意味着如果项目 P 依赖于库 A，而库 A 依赖于库 B v1.3，项目 P 不会关心库 B 的版本，而可能会安装 B 1.4？那有什么意义呢？

或者，正如人们对依赖管理器所期望的那样，这是否意味着相反？

Answer 1

composer.lock 记录安装的确切版本。这样您就可以与您的同事使用相同的版本。

作曲家安装

• 检查composer.lock文件
• 如果没有，自动生成composer.lock文件（使用composer update）
• 安装composer.lock文件中记录的指定版本

作曲家更新

• 浏览composer.json文件
• 根据提到的版本标准（例如 1.12.*）检查更新（最新）版本的可用性
• 安装可能的最新版本（根据上述）
• 使用已安装的版本更新 composer.lock 文件

---

所以在一个简单的清单中。

如果您想让所有同事都使用与您相同的版本...

• 将您的 composer.lock 提交给 GIT（或您拥有的 vcs）
• 请他人获取composer.lock文件的那个版本
• 始终使用 composer install 获取正确的依赖项

如果您想将系统依赖升级到新版本

• 检查 composer.json 文件以了解版本规范。
• 做一个composer update
• 这会将composer.lock 文件更改为最新版本
• 将其提交到 GIT（或 vcs）
• 请其他人获取并composer install

以下将是一个很好的阅读
https://blog.engineyard.com/2014/composer-its-all-about-the-lock-file

享受composer.lock文件的力量！

Answer 2

Composer 依赖项在composer.json 中定义。首次运行 composer install 或运行 composer update 时，将创建一个名为 composer.lock 的锁定文件。

引用的文档仅指锁定文件。如果你的项目 P 依赖于库 A 而 A 依赖于 B v1.3.***，那么如果 A 包含一个锁定文件，说有人运行“composer update”导致安装了 B v1.3.2，那么在你的项目中安装 A P 可能仍会安装 1.3.3，因为 composer.json（不是 .lock！）将依赖项定义为 1.3.*。

锁定文件始终包含准确的版本号，对于将您测试过的版本传达给同事或发布应用程序时很有用。对于库来说，composer.json 中的依赖信息才是最重要的。

Answer 3

锁定文件的重点是记录已安装的确切版本，以便重新安装它们。这意味着如果您的版本规范为 1.* 并且您的同事运行安装 1.2.4 的 composer update，然后提交 composer.lock 文件，当您 composer install 时，您还将获得 1.2.4 ，即使 1.3.0 已经发布。这可确保从事该项目的每个人都有相同的确切版本。在此处阅读更多信息Composer: It’s All About the Lock File