composer 无内置 licenses 命令,需通过 composer-license-plugin 插件(支持 jsON/csv/TXT/markdown 格式导出)或原生命令 + 脚本提取许可信息;合规报告需结合 composer-license-checker 下载 LICENSE 文件,并人工核查 license 字段真实性及嵌套依赖条款。
Composer 本身没有内置的 licenses 命令,但可以通过插件或组合命令实现依赖许可信息的导出,用于合规性检查。
使用 composer-license-plugin 插件导出许可信息
这是最常用、最直接的方式。该插件为 Composer 添加了 licenses 子命令,能以多种格式(如 json、CSV、TXT)列出所有依赖及其许可证。
- 安装插件:
composer global require daveposner/composer-license-plugin(全局安装)或composer require --dev daveposner/composer-license-plugin(项目本地安装) - 执行导出:
composer licenses --format=json > licenses.json(输出 JSON 格式到文件) - 支持格式包括:
txt(简洁文本)、markdown、csv、json,适合不同审计场景 - 注意:插件会读取每个包
composer.json中的license字段,若未声明或值为proprietary、unlicensed,需人工核查源码或 LICENSE 文件
用原生命令 + 脚本提取基础许可信息
不依赖插件时,可结合 composer show --tree 和 composer show vendor/package 手动提取,或写简短脚本批量获取。
- 查看单个包许可:
composer show monolog/monolog | grep license - 批量提取(linux/macOS 示例):
composer show --name-only --no-ansi | xargs -I{} sh -c 'echo "{}: $(composer show {} | grep license | cut -d" " -f2-)"' - 结果较简略,不包含许可证全文或 SPDX ID,仅作初步筛查
生成合规性就绪的报告(含许可证文本)
仅知道许可证名称不够,法律合规常需实际 LICENSE 文件内容。推荐结合 工具 补全:
- 使用 composer-license-checker:可下载并归档各依赖的 LICENSE 文件,生成带链接的 html 报告
- 配合
composer install --no-dev确保只扫描生产依赖,避免开发 工具 带来的许可干扰 - 对
license字段为空或为MIT等缩写的情况,应检查包仓库根目录是否存在LICENSE或LICENSE.md
注意事项与 常见问题
导出结果不能直接等同于法律合规结论,还需人工判断:
- 某些包声明
MIT,但实际代码中混入 GPL 片段——需扫描源码(如用 FOSSA、ScanCode) -
proprietary或unlicensed表示无明确开源许可,禁止在开源项目中直接使用 - 注意嵌套依赖:主依赖 A 使用 MIT,但其依赖 B 是 AGPLv3,则整个链路可能受强传染性条款约束
- Composer 不验证 license 字段真实性,一切以包发布源的元数据和文件为准
