Порядок разрешения зависимости между репозиториями в Composer

Информация о материале: Родительская категория: Программы для автоматизации работы; Категория: Composer

Первоочередные задачи репозитория в Composer — Приоритеты репозитория в Composer

Канонические репозитории Composer.

При разрешении зависимостей Composer ищет заданный пакет в самом верхнем хранилище. Если в этом хранилище пакета нет, он переходит к следующему, пока в одном из хранилищ этот пакет не будет найден и процесс не завершится.

Канонические репозитории лучше по нескольким причинам:

С точки зрения производительности, прекращение поиска пакета после того, как он был найден, более эффективно. Это также позволяет избежать загрузки дублирующихся пакетов, если один и тот же пакет присутствует в нескольких репозиториях.
С точки зрения безопасности, безопаснее обращаться с ними канонически, поскольку это означает, что пакеты, которые, как вы ожидаете, будут получены из наиболее важных для вас репозиториев, никогда не будут загружены из другого репозитория.
- Допустим, у вас есть частный репозиторий, который не является каноническим, и вам требуется, например, приватный пакет foo/bar ^2.0. Если кто-то опубликует foo/bar 2.999 на packagist.org, то Composer немедленно выберет этот пакет, поскольку он имеет более высокую версию, чем ваш последний релиз (скажем, 2.4.3), и в итоге вы установите то, что, возможно, не хотели устанавливать. Однако если приватный репозиторий является каноническим, то версия 2.999 с packagist.org вообще не будет рассматриваться.

Однако есть несколько случаев, когда требуется загрузить из данного репозитория не все, а некоторые пакеты. Или вы можете захотеть, чтобы данный репозиторий не был каноническим и предпочитался только в том случае, если он имеет более высокие версии пакетов, чем репозитории, определенные в списке ниже.

Поведение Composer по умолчанию.

По умолчанию в Composer 2.x все репозитории являются каноническими. В Composer 1.x все репозитории считались неканоническими.

По умолчанию репозиторий packagist.org всегда неявно добавляется последним, если это условие не отключено.

Создание неканонических репозиториев Composer.

Чтобы отключить это поведение по умолчанию и сделать так, чтобы Composer продолжал искать в других репозиториях, даже если они содержат данный пакет, можно добавить опцию canonical к любому репозиторию.

{
    "repositories": [
        {
            "type": "composer",
            "url": "https://example.org",
            "canonical": false
        }
    ]
}

Фильтрация пакетов в Composer.

Можно также отфильтровать пакеты, которые будут загружены в репозиторий, выбрав нужные или исключив ненужные.

Например, здесь мы хотим выбрать из данного хранилища Composer только пакет foo/bar и все пакеты от some-vendor/.

{
    "repositories": [
        {
            "type": "composer",
            "url": "https://example.org",
            "only": ["foo/bar", "some-vendor/*"]
        }
    ]
}

А в другом примере мы исключаем из репозитория пакет toy/package, который мы, возможно, не хотим загружать в этот проект.

{
    "repositories": [
        {
            "type": "composer",
            "url": "https://example.org",
            "exclude": ["toy/package"]
        }
    ]
}

И only, и exclude должны быть массивами имен пакетов, которые также могут содержать подстановочные знаки (*), которые будут соответствовать любому символу.

Перевод с английского официальной документации Composer:
https://getcomposer.org/doc/articles/repository-priorities.md

Заберите ссылку на статью к себе, чтобы потом легко её найти!
Раз уж досюда дочитали, то может может есть желание рассказать об этом месте своим друзьям, знакомым и просто мимо проходящим?
Не надо себя сдерживать! ;)