composer install - устанавливает зависимости из composer.lock (точные версии). Если lock-файла нет - ведет себя как update.
composer update - обновляет зависимости до последних допустимых версий (по правилам из composer.json) и перезаписывает lock-файл.
Правило: на CI/CD и проде - только install. На разработке - update при необходимости обновить библиотеки.