С удалением и переустановкой понятно. Интересно именно, как проверить пакеты. Так как раньше всегда папка vendor была в git. И кривые руки ловились на раз-два. Сейчас рекомендуют директорию vendor держать вне репозитория. Например, увольняется разработчик, возьмет и допишет какую-нибудь пакость в vendor - как узнать что он дописал? Натравливать дифф на vendor каждый раз глупо. Хотелось бы простую команду, как git status.
Да, хеш в composer.lock я видел, но как его получить от пакета и сравнить простой командой - не понятно.