Нужно ли ставить под контроль версии папку vendor?

Question

[Сергей]

Только начал разбираться с Git, возник вопрос какие файлы игнорировать а какие ставить под контроль. Установил Yii2 через composer, все его пакеты содержатся в папке vendor. Вопрос в том ставить папку vendor под версионный контроль или игнорировать эту папку, т.к под контролем уже есть файл composer.json ?

Answer 1

[Александр]

Можно "ставить под контроль" файл composer.lock - после pull'а на продакшене запускается "composer install" и версии пакетов всегда те же, что и у разработчика.

Comments

[D']

только composer install, а не composer update.

[Александр]

D' Normalization: спасибо за замечание, затупил

Answer 2

[melnikov_m]

Нет, вендор в GIT не нужен
Добавьте в GIT composer.json и composer.lock

Answer 3

[dmitriy]

однозначно в игнор

Answer 4

[Александр Кубинцев]

В отдельный репозиторий зависимости. А так в .gitignore.
composer install для деплоя на прод? Не самое хорошее решение.

Comments

[Александр]

обоснуйте, плиз?

[Александр Кубинцев]

Александр: вы считаете нормальным катить в прод непроверенные сторонние зависимости?

[Александр]

если в composer.json явно прописать версии пакетов, предварительно тестированные на тестовом стенде, то почему нет?

[Александр Кубинцев]

Александр: это не дает 100% гарантии целостности и корректности пакетов. Допустим, репозиторий хакнули и подменили версию пакета.
Другой момент, если composer не обвешан раскладочными скриптами, то выгрузка из своего репо git на порядок быстрее будет происходить, даже если настроить composer использовать сперва кеш.

[melnikov_m]

akubintsev: какой вариант вы тогда предлагаете, хранить все библиотеки у себя и перед деплоем предварительно каждую проверять?

[Александр Кубинцев]

melnikov_m: да, vendor класть в отдельный репозиторий и обновлять его только при необходимости, например раз в полгода.