composer install --dry-run 能完整执行依赖解析、平台检查和插件钩子，但跳过所有磁盘写入；不能验证自动加载是否生效、不校验 autoload 冲突、不检测网络权限或运行时环境问题。

composer install --dry-run 能做什么、不能做什么

composer install --dry-run 会完整走通依赖解析、平台检查（PHP 版本、扩展如 ext-gd）、插件钩子（比如 autoload 生成逻辑），但跳过所有磁盘写入：不下载 zip，不解压，不改 vendor/，不重写 composer.lock，也不生成真实 autoload_static.php。它不是“预加载”，而是“只算不写”——你能看到哪些包会被装、哪些被跳过、脚本是否计划运行，但看不到类自动加载是否真能命中。

什么时候必须跑 --dry-run，而不是直接 install

以下场景不加 --dry-run 就执行，等于闭眼跳坑：

• 刚切完 Git 分支，composer.lock 和本地 vendor/ 状态不一致，想确认 install 是否会删包或重装大量依赖
• CI 流水线里收到 PR 提交了新的 composer.lock，需验证它在当前 PHP 版本下是否真能通过（composer install --dry-run 会报错如果 platform 配置不匹配）
• 你改了 composer.json 的 require 或 config.platform.php，但不确定会不会触发 symfony/console 从 v5 降级到 v4
• 团队协作中有人提交了 --no-dev 后生成的 lock 文件，你想快速确认它会不会把 phpunit/phpunit 连带依赖全干掉

怎么看出 dry-run 输出里的关键信号

输出不是日志，是动作快照。盯住三类符号和提示：

• 行首 + 表示将新增（如 + monolog/monolog: 2.9.0）
• 行首 ~ 表示将更新（如 ~ guzzlehttp/guzzle: 7.5.0 → 7.8.1）
• 行首 - 表示将卸载（如 - phpunit/phpunit: 9.6.13）
• 出现 Skipped 通常说明该包已满足约束且无新版本可选；但若预期它该升级却显示 Skipped，就要检查 composer.json 版本约束是否写死了
• 出现 Writing lock file 是提示，不是动作——实际文件不会变

加 -v 可看到 PSR-4 映射推导过程：composer install --dry-run -v | grep "autoload"，帮你提前判断自定义命名空间是否被正确识别。

常见误判点和必须人工补位的地方

--dry-run 不是万能安全阀。它无法替代真实环境验证：

• 不校验 autoload 规则是否冲突（比如两个包都声明了 App\\ 到不同路径），也不会运行 composer dump-autoload
• 不检测网络权限（私有仓库 token 过期？）、磁盘空间、文件系统权限等运行时问题
• 不模拟 vendor/bin 软链创建，所以即使 dry-run 成功，真实 install 后命令行工具仍可能找不到
• 如果用了插件（如 hirak/prestissimo 或自研插件），而插件没适配 isDryRun() 判断，它仍可能在 dry-run 阶段执行副作用（比如清缓存、发通知）

真正关键的兼容性断点，往往藏在 platform 配置和 PHP 实际版本差值里——--dr