composer bumps 命令不存在，实际可用命令是 composer versions:check；该插件仅诊断依赖版本过时、安全风险及语义化不一致问题，不执行自动更新。

composer bumps 命令本身并不存在 —— composer-versions-check 插件没有提供名为 bumps 的命令。

实际可用的命令是 composer versions:check

该插件（roave/composer-versions-check）核心功能是**检查依赖版本是否过时、是否存在安全风险或语义化版本不一致问题**，它不执行自动更新操作。它只做“诊断”，不做“治疗”。

如何用它辅助批量更新依赖？

虽然不能一键升级，但你可以结合它的输出，高效、安全地批量更新：

• 运行 composer versions:check --outdated 查看所有可升级的包（含当前/最新稳定版）
• 加 --security 参数优先识别有已知漏洞的包（需配合 composer audit 或安全数据库）
• 加 --major 显示可能含破坏性变更的大版本更新（帮助你评估风险）
• 结果中带 ^ 或 ~ 的包，通常可通过 composer update vendor/package 安全升级
• 想批量升级所有可兼容更新？直接运行 composer update（遵守 composer.json 中的约束）

真正批量更新的推荐做法

如果目标是安全、可控地批量更新依赖，更实用的组合是：

• composer outdated --direct：只看项目直连依赖，减少干扰
• composer update --dry-run：预览将更新哪些包，不实际写入
• composer update vendor1/pkg1 vendor2/pkg2：指定多个包名一次更新（支持通配符如 monolog/*）
• 配合 --with-dependencies 确保子依赖同步适配

基本上就这些 —— 别被 bumps 这个名字误导了，它不是 composer 内置命令，也不是 composer-versions-check 的功能。专注用好 versions:check 做判断，再用原生 composer update 执行，最稳。