运行 composer licenses 可列出项目所有依赖包声明的开源许可证,需在含 composer.json 的根目录执行;支持 --format=json、--no-dev、--tree 等选项;license 字段来自元数据,非源码分析,遇 unknown 或空值应人工核查 LICENSE 文件。
直接运行 composer licenses 即可列出当前项目所有依赖包声明的开源许可证。
确保 Composer 已正确安装并处于项目根目录
该命令需要在包含 composer.json 的项目根目录下执行。如果提示 command not found,请先确认 Composer 是否全局可用,或改用 php composer.phar licenses(假设 composer.phar 在当前目录)。
理解输出内容的含义
默认输出会显示每个已安装依赖包的名称、版本和其 composer.json 中声明的 license 字段值,例如:
monolog/monolog 2.10.0 MITpsr/log 3.0.0 MITsymfony/console v6.4.7 MIT
注意:它读取的是包元数据里的 license 值,不是自动分析源码内容;有些包可能写 MIT OR Apache-2.0 或 proprietary,需人工判断合规性。
常用选项增强实用性
可以加参数让结果更清晰或适配不同场景:
-
--format=json:输出 JSON 格式,方便脚本解析 -
--no-dev:只显示生产环境依赖(排除require-dev中的包) -
--tree:以树形结构展示依赖关系,并附带许可证信息(Composer 2.5+ 支持)
注意许可证字段可能不完整或不规范
部分包维护者未严格填写 license,可能出现 unknown、空值或模糊描述(如 BSD 未注明具体版本)。遇到这类情况,建议手动查阅对应包的 README 或仓库根目录下的 LICENSE 文件确认。
基本上就这些。不复杂但容易忽略细节。
