0

0

Composer如何查看包的许可证信息?(合规性检查)

冰火之心

冰火之心

发布时间:2026-02-26 11:04:03

|

584人浏览过

|

来源于php中文网

原创

composer licenses 命令不是 composer 内置命令,官方从未实现;当前唯一原生方式是 composer show 或解析 composer.lock/json 提取 license 字段。

composer如何查看包的许可证信息?(合规性检查)

composer licenses 命令到底存不存在?composer licenses 在绝大多数 Composer 环境中**不是内置命令**——你执行它大概率会看到 Command "licenses" is not defined.。这不是你装错了,也不是版本太低,而是官方从未实现过这个命令。部分文档或旧插件残留描述造成了广泛误解。2026 年当前主流 Composer 2.5+ 版本中,composer show --licenses 已被移除,--licenses 参数不再支持。
  • 官方唯一原生可用的许可证相关能力是 composer show(需已运行过 composer install
  • 所有带 licenses 的输出示例,基本来自第三方插件(如 zicht/composer-license-plugin)或过时资料
  • 如果你在 CI 脚本里写了 composer licenses 却没装插件,构建会直接失败

怎么用原生命令查所有包的 license 字段? 最可靠、不依赖插件的方式是解析 composer.lock 或用 composer show --format=json 提取。前提是项目已执行过 composer install(否则 vendor/ 为空,show 会报 Package not found)。
  • composer show --no-dev --format=json | jq -r '.[] | "(.name),(.version),(.license // ["unknown"] | join(" | "))"'
    → 输出每行:包名,版本,许可证(支持多 license 合并显示)

  • jq -r '.packages[] | "(.name)\t(.version)\t(.license // ["unknown"] | join(" | "))"' composer.lock
    → 不依赖 vendor/,但可能漏掉未在 packages 数组里显式写 license 的包(比如某些只在 packages-dev 或嵌套依赖中声明)

  • license 字段值可能是字符串("MIT")、数组(["MIT", "Apache-2.0"]),甚至 URL("<a href="https://www.php.cn/link/fdd62f8bdc8bd18509c0d3b5159ffc8d">https://www.php.cn/link/fdd62f8bdc8bd18509c0d3b5159ffc8d</a>")——后者不能直接当作合规依据

  • 某些包字段为空或填了 "proprietary",需人工点进源码看根目录 LICENSE 文件

    Descript
    Descript

    一个多功能的音频和视频编辑引擎

    下载

要不要装 zicht/composer-license-plugin? 如果你需要更贴近“开箱即用”的许可证汇总,且能接受额外依赖,zicht/composer-license-plugin 是目前最成熟的方案。装完就有 composer licenses 命令,并支持启发式识别:当 license 字段为空时,自动读取包根目录的 LICENSELICENSE.md 文件内容,尝试匹配 SPDX 标识符。
  • 安装:composer require --dev zicht/composer-license-plugin
  • 使用:composer licenses --format=jsoncomposer licenses --short
  • 它还会把 license 字段里的模糊值(如 "The MIT License")标准化为 "MIT",减少人工判断成本
  • 缺点:插件本身不审计法律效力;仍无法替代对 LICENSE 文件原文的核对,尤其当包同时声明多个 license 或含例外条款时

为什么不能只信 license 字段?licensecomposer.json 里的元数据字段,由包作者填写,既无校验也无强制规范。常见问题包括:
  • 填了 "BSD" 但实际是 BSD-2-Clause 还是 BSD-3-Clause?字段里没写清
  • 有些包写 "MIT",但 LICENSE 文件里加了额外限制(如“不得用于军事用途”),这已不是标准 MIT
  • 多 license 场景下(["MIT", "GPL-3.0-or-later"]),用户必须选其一遵守,而字段本身不说明适用条件
  • 更关键的是:Composer 不解析、不验证 LICENSE 文件内容,也不检查文件是否存在

真正合规审查必须落到源码仓库的 LICENSE 文件原文,再结合法务判断。工具只能帮你快速筛出 GPLAGPL、空 license 等高风险信号,不能替你签字担责。

事情说清了就结束。

热门AI工具

更多
DeepSeek
DeepSeek

幻方量化公司旗下的开源大模型平台

豆包大模型
豆包大模型

字节跳动自主研发的一系列大型语言模型

通义千问
通义千问

阿里巴巴推出的全能AI助手

腾讯元宝
腾讯元宝

腾讯混元平台推出的AI助手

文心一言
文心一言

文心一言是百度开发的AI聊天机器人,通过对话可以生成各种形式的内容。

讯飞写作
讯飞写作

基于讯飞星火大模型的AI写作工具,可以快速生成新闻稿件、品宣文案、工作总结、心得体会等各种文文稿

即梦AI
即梦AI

一站式AI创作平台,免费AI图片和视频生成。

ChatGPT
ChatGPT

最最强大的AI聊天机器人程序,ChatGPT不单是聊天机器人,还能进行撰写邮件、视频脚本、文案、翻译、代码等任务。

相关专题

更多
composer是什么插件
composer是什么插件

Composer是一个PHP的依赖管理工具,它可以帮助开发者在PHP项目中管理和安装依赖的库文件。Composer通过一个中央化的存储库来管理所有的依赖库文件,这个存储库包含了各种可用的依赖库的信息和版本信息。本专题为大家提供相关的文章、下载、课程内容,供大家免费下载体验。

160

2023.12.25

json数据格式
json数据格式

JSON是一种轻量级的数据交换格式。本专题为大家带来json数据格式相关文章,帮助大家解决问题。

448

2023.08.07

json是什么
json是什么

JSON是一种轻量级的数据交换格式,具有简洁、易读、跨平台和语言的特点,JSON数据是通过键值对的方式进行组织,其中键是字符串,值可以是字符串、数值、布尔值、数组、对象或者null,在Web开发、数据交换和配置文件等方面得到广泛应用。本专题为大家提供json相关的文章、下载、课程内容,供大家免费下载体验。

544

2023.08.23

jquery怎么操作json
jquery怎么操作json

操作的方法有:1、“$.parseJSON(jsonString)”2、“$.getJSON(url, data, success)”;3、“$.each(obj, callback)”;4、“$.ajax()”。更多jquery怎么操作json的详细内容,可以访问本专题下面的文章。

324

2023.10.13

go语言处理json数据方法
go语言处理json数据方法

本专题整合了go语言中处理json数据方法,阅读专题下面的文章了解更多详细内容。

81

2025.09.10

format在python中的用法
format在python中的用法

Python中的format是一种字符串格式化方法,用于将变量或值插入到字符串中的占位符位置。通过format方法,我们可以动态地构建字符串,使其包含不同值。php中文网给大家带来了相关的教程以及文章,欢迎大家前来阅读学习。

866

2023.07.31

python中的format是什么意思
python中的format是什么意思

python中的format是一种字符串格式化方法,用于将变量或值插入到字符串中的占位符位置。通过format方法,我们可以动态地构建字符串,使其包含不同值。本专题为大家提供相关的文章、下载、课程内容,供大家免费下载体验。

452

2024.06.27

require的用法
require的用法

require的用法有引入模块、导入类或方法、执行特定任务。想了解更多require的相关内容,可以阅读本专题下面的文章。

504

2023.11.27

batoto漫画官网入口与网页版访问指南
batoto漫画官网入口与网页版访问指南

本专题系统整理batoto漫画官方网站最新可用入口,涵盖最新官网地址、网页版登录页面及防走失访问方式说明,帮助用户快速找到batoto漫画官方平台,稳定在线阅读各类漫画内容。

331

2026.02.25

热门下载

更多
网站特效
/
网站源码
/
网站素材
/
前端模板

精品课程

更多
相关推荐
/
热门推荐
/
最新课程
第二十四期_PHP8编程
第二十四期_PHP8编程

共86课时 | 3.4万人学习

成为PHP架构师-自制PHP框架
成为PHP架构师-自制PHP框架

共28课时 | 2.6万人学习

第二十三期_PHP编程
第二十三期_PHP编程

共93课时 | 7.3万人学习

关于我们 免责申明 举报中心 意见反馈 讲师合作 广告合作 最新更新
php中文网:公益在线php培训,帮助PHP学习者快速成长!
关注服务号 技术交流群
PHP中文网订阅号
每天精选资源文章推送

Copyright 2014-2026 https://www.php.cn/ All Rights Reserved | php.cn | 湘ICP备2023035733号