composer的minimum-stability设置为dev有什么风险

设置minimum-stability为dev会允许安装不稳定依赖，导致包稳定性差、安全风险高、构建不一致及依赖冲突；建议局部引入特定dev版本而非全局配置。

将 Composer 的 minimum-stability 设置为 dev 意味着项目允许安装开发阶段的依赖包（如 dev、alpha、beta、RC 等版本），这虽然能让你使用最新的功能，但也带来一些实际风险。

1. 包的稳定性无法保证

开发版的依赖包可能包含未修复的 bug 或不完整的功能。这些包没有经过充分测试，容易导致：

• 运行时错误或崩溃
• 接口频繁变更，破坏兼容性
• 文档缺失或与实现不符

一旦某个依赖从 dev-master 更新后修改了 API，你的代码可能立即无法工作。

2. 安全风险增加

开发中的包通常不会像稳定版那样进行严格的安全审查。可能存在：

• 已知但未修复的安全漏洞
• 不安全的默认配置
• 引入高危依赖而未被发现

这类问题在生产环境中可能被利用，造成数据泄露或服务中断。

3. 版本锁定困难，构建不一致

使用 dev 分支（如 dev-main）时，每次执行 composer install 都可能拉取不同的代码提交，除非你明确锁定 commit hash。

这会导致：

• 本地环境和生产环境行为不一致
• CI/CD 构建结果不可复现
• 回滚困难，因为“昨天正常的版本”已经无法重现

4. 依赖冲突更容易发生

开发版包往往对其他依赖的版本约束较松或使用不稳定版本。多个 dev 包之间可能因依赖不同版本的同一个库而引发冲突。

这种问题在 require 时不一定立刻暴露，但在更新时突然爆发，调试成本高。

基本上就这些。如果你确实需要使用某些开发版功能，建议通过 inline alias 或精确指定 dev 版本带 commit 的方式局部引入，而不是全局设 minimum-stability=dev。这样既能获得新特性，又能控制影响范围。