运行 composer licenses 可查看项目依赖的许可证信息,列出包名称、版本和许可证类型;使用 –verbose 参数可显示详细描述、作者、依赖关系及许可证正文;通过 grep 或 findstr 过滤关键词(如 gpl)可筛查特定许可证;建议定期检查是否存在强传染性许可证(如 GPL)、多许可证混合或未声明许可证(none)的情况,确保合规性。
运行 composer licenses 命令可以查看当前项目中所有依赖包的许可证信息。这个命令会列出每个已安装的包及其对应的许可证类型,帮助你快速了解项目所使用的第三方库是否符合合规要求。
基本用法
在项目根目录下执行:
composer licenses
这会输出一个表格,包含以下列:
显示详细信息
如果想看到更详细的描述,包括许可证文本或作者信息,可以加上 –verbose 参数:
composer licenses –verbose
详细模式下可能还会显示:
- 包的描述
- 作者
- 依赖关系
- 许可证正文(如果可用)
只显示特定许可证的包
使用 –level 或直接过滤关键词,可以筛选出特定类型的许可证。例如,查找是否含有 GPL 类型的许可:
composer licenses | grep -i gpl
composer licenses | findstr /i “gpl”
检查合规性建议
在企业或发布产品时,建议定期运行该命令,重点关注:
- 是否存在强传染性许可证(如 GPL)
- 是否有多个不同许可证混合使用的情况
- 某些包是否没有明确声明许可证(显示为 “none” 或空)
对于未声明许可证的包要特别注意,可能存在法律风险,应联系维护者或考虑替换。
基本上就这些。通过 composer licenses 能快速掌握项目的许可状况,便于合规管理。