如何通过Satis或Private Packagist搭建公司内部的Composer镜像？

推荐小团队用Satis（轻量免费、需自维护），中大型企业选Private Packagist私有部署版（功能全、权限细、支持实时同步与生命周期管理）。

直接用 Satis 或 Private Packagist 搭建公司内部 Composer 镜像，核心是让私有包能被 composer install 正常拉取，同时兼顾安全、可控和可维护性。Satis 轻量免费但需自行托管维护；Private Packagist 功能完整、支持 Web UI 和细粒度权限，但为商业服务（也提供私有部署版）。

用 Satis 快速搭建静态镜像

Satis 是一个静态生成器，它扫描你指定的 Git 仓库（如 GitHub、GitLab、私有 Gitee），生成符合 Composer Repository 协议的 packages.json 和压缩包归档，整个结果可直接用 Nginx/Apache 托管。

• 安装 Satis：composer create-project composer/satis --stability=stable
• 编写 satis.json，例如：

  {
    "name": "acme/internal-packages",
    "homepage": "https://packages.acme.com",
    "repositories": [
      { "type": "vcs", "url": "https://git.acme.com/php/logger" },
      { "type": "vcs", "url": "https://git.acme.com/php/utils" }
    ],
    "require-all": true,
    "archive": {
      "directory": "dist",
      "format": "tar",
      "skip-dev": true
    }
  }

• 运行构建：php bin/satis build satis.json web/，输出到 web/ 目录
• 用 Web 服务器托管 web/（确保 packages.json 可通过 https://packages.acme.com/packages.json 访问）
• 在项目 composer.json 中添加：

  "repositories": [
        { "type": "composer", "url": "https://packages.acme.com" }
      ]

Private Packagist：开箱即用的企业级方案

Private Packagist 提供两种部署方式：SaaS（托管在他们云上）或 On-Premise（Docker 容器私有部署）。后者适合对数据合规和网络隔离要求高的企业。

MagicArena

字节跳动推出的视觉大模型对战平台

163 查看详情

• On-Premise 版本需购买许可，下载 Docker Compose 包后，配置好数据库、Redis、SSL 证书和反向代理即可启动
• 首次登录后，添加公司 Git 服务器（支持 GitHub Enterprise、GitLab CE/EE、Bitbucket Server 等），设置同步规则（如自动同步所有 acme/* 仓库）
• 创建团队与成员，分配包访问权限（例如：财务组只能读 acme/accounting-sdk）
• 客户端只需在 composer.json 加入：

  "repositories": [
        { "type": "composer", "url": "https://packagist.acme.com" }
      ]

  并配置 API Token（通过 composer config http-basic.packagist.acme.com token "" 或环境变量）

关键注意事项

无论选哪种方案，以下几点直接影响可用性：

• 认证与权限：Satis 默认无认证，需靠 Web 服务器（如 Nginx Basic Auth）或网络层（如内网白名单）控制访问；Private Packagist 原生支持 OAuth2、LDAP 和精细包级权限
• 版本更新时效：Satis 需定时跑构建脚本（建议用 Cron 每小时执行一次）；Private Packagist 支持 Webhook 实时触发同步
• 私有依赖链处理：若 A 包依赖 B 包（均为私有），Satis 要求两个仓库都在 repositories 列表中；Private Packagist 自动解析依赖图并同步闭包
• 镜像稳定性：避免把开发分支（如 dev-main）直接发布到镜像；Satis 可设 "require-dependencies": false 控制是否拉取依赖源码

推荐选择策略

小团队或 MVP 阶段，Satis 足够用，成本低、逻辑透明；中大型团队或已有合规审计要求，Private Packagist On-Premise 更省心——它不只是镜像，更是私有 PHP 包的生命周期管理平台。

以上就是如何通过Satis或Private Packagist搭建公司内部的Composer镜像？的详细内容，更多请关注php中文网其它相关文章！