composer licenses 命令用于查看项目中已安装依赖包的许可证信息,输出包名、版本号和许可证类型(如 MIT、Apache-2.0 等),支持 --detail 参数显示完整文本,帮助识别 GPL 等限制性协议,发现未知或缺失许可证的包,辅助开源合规审查与法律风险评估,适用于商业项目授权确认及自动化审计流程。
composer licenses 命令用于查看当前项目中所有已安装的依赖包及其对应的许可证信息。这个命令帮助开发者快速了解项目所使用第三方库的授权情况,便于合规审查和法律风险评估。
查看依赖包的许可证类型
运行 composer licenses 后,会列出每个已安装包的名称、版本、引用的许可证(如 MIT、Apache-2.0、GPL 等),部分还会显示许可证的完整文本或链接。
- 输出内容包括:包名、版本号、许可证类型
- 适用于需要确认是否使用了 GPL 类等限制性较强的开源协议场景
- 可帮助团队判断某个包是否允许在商业项目中使用
支持详细模式查看完整许可证文本
通过添加 --detail 参数,可以显示每个包的完整许可证正文内容。
- 命令示例:composer licenses --detail
- 适合法务人员审核具体条款
- 尤其对没有在 composer.json 中明确声明 license 字段的包,会标注为 “unknown”
辅助开源合规与审计
在发布产品前运行该命令,有助于确保所有使用的组件都符合公司或项目的合规要求。
- 识别是否存在多个不同类型的许可证混合使用的情况
- 发现潜在的未知或缺失许可证信息的包
- 配合自动化脚本生成第三方库依赖及许可报告
基本上就这些。composer licenses 是一个轻量但实用的功能,特别适合注重版权合规的开发流程。不复杂但容易忽略。
