Composer. Небезопасно использовать packagist и приватный источник пакетов одновременно

[Fedcomp]

И composer не представляет никакой опции дающей приоритет приватным репозиториям?

[sectus]

Нет, список репозиториев и список необходимых пакетов не зависят друг от друга.

[sectus]

Исправляюсь. Приватные репозитории будут иметь приоритет когда мы указываем в качестве версии ветку, а не номер версии.

[neolink]

Когда ставите пакеты (команда) install composer ставит то что написано в composer.lock
Когда вы делаете update то можно просто посмотреть глазами на то, что скачалось (на тот же .lock), зачем тут делать satis?
Ну и composer стермится поставить максимальную ту версию которая подходит под зависимости которые вы или составители пакетов указали, всегда можно указать конкретную версии или коммит в composer.json

Ну и хоть какие-то примеры можете привести (composer.json, форкните репозиторий который вы импортируете и пропишите вместо своего приватного, чтобы можно было просто запустить composer update и увидеть это поведение)? Создать пакет с другим именем и указать у него replace пробовали?

[sectus]

Да, лучше лишний раз посмотреть в composer.lock, чтобы убедиться, что всё установилось откуда надо. Но тут есть два но. 1. Если появится пакет, который будет подменять Ваш, то Вам придётся после каждого update редактировать composer.lock вручную. 2. Пакет может содержать скрипты, которые будут выполнятся от лица пользователя во время обновления.

Воспроизводится легко. Обновлю в посте.

Replace теперь работает по-другому. Раньше, если require пакет начинал конфликтовать с другими, то мог установиться другой пакет.