当你运行 composer show --tree 命令时，Composer 会以树状结构展示当前项目所依赖的所有包及其层级关系。这个命令能帮助你清晰地看到哪些包是直接依赖，哪些是间接依赖（即依赖的依赖），以及是否存在版本冲突或重复引入的情况。

理解输出结构

命令输出类似以下格式：

phpunit/phpunit
├── phpunit/php-text-template
│   └── ergebnis/php-cs-fixer
├── phpunit/php-timer
├── phpunit/php-file-iterator
│   └── sebastian/diff
└── phpunit/php-code-coverage
    ├── sebastian/code-unit-reverse-lookup
    ├── phpunit/php-token-stream
    └── sebastian/environment

每一行代表一个包，缩进和连线表示依赖层级。顶层是你 composer.json 中声明的直接依赖，其子节点为它们各自需要的依赖包。

识别依赖来源与潜在问题

通过树状图可以快速判断：

• 某个包被谁引入：比如发现 symfony/yaml 出现在多个分支中，说明多个组件都依赖它。
• 版本不一致风险：如果同一包在不同路径下显示不同版本，可能引发兼容性问题。
• 冗余或可优化项：某些开发工具包（如代码检查）出现在生产依赖中，提示你可以审查依赖分类。

实用查看技巧

结合其他选项提升可读性：

• composer show --tree --dev：包含 require-dev 中的依赖，完整查看测试、构建等工具链。
• composer show --tree vendor/package：只查看特定包的依赖树，适合排查单一组件的影响范围。
• 将输出重定向到文件便于分析：composer show --tree > deps.txt

辅助决策的实际用途

这个命令不只是“看看”，还能帮你做决定：

• 升级前预览：先更新某包，再运行 --tree 看是否引入了你不想要的深层依赖。
• 安全审计：发现某个已知漏洞包出现在依赖树中，顺藤摸瓜找到是哪个主依赖引入的。
• 减小部署体积：识别出仅用于开发的包是否误入生产环境依赖。

基本上就这些。用好 --tree 能让你对项目的“依赖健康状况”心中有数，避免黑盒式管理第三方库。