В любом случае при деплое сайта на прод обязательно нужно запускать не просто composer install, а именно composer install --no-dev, чтобы на прод не устанавливались те зависимости, которые нужны только для разработки. Например, ide-helper, tinker - им не место на проде. composer install устанавливает все зависимости из файла composer.lock. Даже если у пакетов выпущены более свежие релизы, будут установлены те, что указаны именно в этом файле.

composer update обновляет все указанные в файле composer.json зависимости до самых свежих версий и обновляет файл composer.lock

composer require устанавливает новые зависимости, добавляя их в файлы composer.json и composer.lock.

В случае с npm, действие аналогичное, как и писал выше:

npm i, npm install - это аналог composer update, когда зависимости обновляются вместе с файлом package-lock.json.
npm ci - аналог composer install, когда указанные в package-lock.json версии.

composer dumpauto в этом случае не нужно делать - Лара сама запустит. Это лишнее.

Вопрос по composer require. То есть, если в require добавлен новый пакет, то нужно запускать именно composer require?

Вопрос по composer require. То есть, если в require добавлен новый пакет, то нужно запускать именно composer require?

Не понял

Чтобы подтянулся лишь новый пакет?

Условно, в composer.json у тебя указаны пакеты X и Y. Ты хочешь добавить в приложуху пакет Z - composer require Z

т.е костыли над формреквест лучше не химичить?

Думал ты в composer.json в раздел require вносишь новые пакеты и он работает только с ними(устанавливает их)

Нет. Сделайте правило в нём обработайте и его подключите в реквесте

просто мне говорили в контроллере не желательно делать работу реквеста

А вот actions/checkout@v2 делает переход на ветку, в которой отловилось событие?

artisan make:rule NameRule потом в реквесте
field => [rules, new NameRule()],