PHPのライブラリ管理にComposerを使っています。
先日困ったことが起きました。

現状

composer installでcomposer.lockを使用しライブラリをインストール。
composer.jsonに設定を追加しcomposer.jsonを使用しcomposer update。

すると、composer.jsonにバージョン指定を*にしている幾つかのライブラリが後方互換性が担保されていなかったためシステムが壊れてしまいました。

現在の運用ではcomposer requireを使用してcomposer.lockを更新。
開発環境であってもcomposer updateは使用せず、新しくライブラリを追加する場合は、vendorをrmしてcomposer installをしています。

質問

まず、composer.jsonとcomposer.lockを一旦同期させたほうが良いかなと思っています。
composer.lockをコピーしcomposer.jsonとして使用することはできますでしょうか？
ただし、管理上不要なものは取り除きたいです。

私の考え

私の考えでは、開発環境ではcomposer.jsonを編集しcomposer updateを行いcomposer.lockを更新。
ステージングでは、composer installしか行わない。
というのが、王道なやり方なのかなと思っています。

みなさんのご意見をお聞きしたいです。