如何使用 composer why 和 composer why-not 命令排查依赖关系？

composer why 和 composer why-not 是 Composer 依赖分析的核心诊断工具：why 查包被谁依赖，why-not 查版本冲突原因，支持 --direct、--tree 等参数及缩写，可快速定位依赖问题。

这两个命令专门用来查清某个包为什么被安装，或者为什么无法安装，是 Composer 依赖分析中最直接的诊断工具。

composer why：查清楚“谁在用这个包”

当你想确认某个已安装的包为何存在，比如 monolog/monolog，运行：

composer why monolog/monolog

它会列出直接或间接依赖它的顶层包（即你项目中 require 的包），并显示依赖链路。例如输出可能是：

• laravel/framework v10.32.1 → monolog/monolog ^2.8
• spatie/laravel-backup 8.5.0 → monolog/monolog ^2.0

说明 Laravel 框架和备份包都拉入了 monolog。如果只关心直接依赖，加 --direct 参数：

composer why --direct monolog/monolog

composer why-not：查清楚“为什么装不上这个版本”

当你执行 composer require some/package:2.0 报错说版本冲突，就用它定位卡点：

composer why-not some/package:2.0

它会告诉你哪些已安装的包锁死了某个不兼容的依赖。例如输出：

• myapp/core 1.2.0 requires guzzlehttp/guzzle ^7.2
• some/package 2.0 requires guzzlehttp/guzzle ^8.0

这说明 myapp/core 和 some/package 对 Guzzle 版本要求冲突，必须升级 core 或降级 package 才能共存。

实用小技巧

• 命令支持缩写：composer why monolog 等同于完整包名
• 配合 --tree 查看完整依赖树（仅 why 支持）
• 若提示 “No version set”，说明该包未被当前 lock 文件收录，可能已被移除但缓存残留，先 composer update --lock 再试
• 排查时优先检查 require-dev 中的包——它们也可能拖住主依赖版本

基本上就这些。用熟了，比翻 composer.lock 还快。