А никого не смушает, что надо деплой будет проходить в результате в два этапа? (git pull и composer install)
Вот добавили вы в свой проект новый инструмент, добавили фичей, оттестировали. Время деплоя.
git pull на продакшене.
А composer возми да не сможет скачать новый инструмент (причины могут быть разные, от лагов инета, до ddos github (с которого composer попытается скачать пакеты) )
Случай может быдь редким, но если случится - можно и встрять.
Если обновления продакшена только через гит делать - это надежно. Если все скачал - развернул, если что-то недокачает, из-за инета или еще чего, то обновления не развернет.
Хочется максимально обезопасить себя от внезапных попадосов. Можно конечно и откатить коммит, если композер лег - только это не хороший вариант, когда начнут спрашивать с тебя, по какой причине задача выполнена, а на продакшене её нет.