Composer es el gestor de dependencias estándar del PHP moderno. Apareció en 2012 inspirado en npm y bundler, y resolvió de un plumazo uno de los problemas históricos del lenguaje: cómo declarar, versionar e instalar librerías de terceros de forma reproducible. Hoy es imposible imaginar un proyecto PHP serio sin él.
El contrato lo define composer.json: dependencias y sus versiones (con SemVer), scripts, configuración de autoload PSR-4 y restricciones de PHP o extensiones. composer install instala exactamente lo que dicta composer.lock (garantía de builds reproducibles), composer update resuelve nuevas versiones compatibles, y composer require añade dependencias actualizando ambos ficheros a la vez. Packagist es el registro público; existen también registros privados (Packagist.com, Repman, Satis) para librerías internas.
Más allá de instalar paquetes, Composer es la columna vertebral del autoload de PHP: el vendor/autoload.php que generan los frameworks viene de aquí. También sirve como orquestador de scripts (composer test, composer cs-fix) y como mecanismo para definir hooks post-install o post-update que generan cachés, configuran entornos o ejecutan migraciones.
En 10Code aplicamos un par de reglas siempre: nunca commitear vendor/, sí commitear composer.lock para builds deterministas, separar dependencias de runtime y de desarrollo (require-dev), fijar versiones de PHP exactas y auditar regularmente con composer audit para detectar CVEs en paquetes instalados. Una gestión de dependencias disciplinada evita la deriva silenciosa que pudre los proyectos PHP en producción.
En 10Code llevamos más de una década aplicando estas tecnologías a productos reales. Si quieres comentarnos tu caso, escríbenos y te respondemos personalmente.
Hablar con un ingeniero