0

0

composer如何查看包许可证_composer license合规检查【开源】

穿越時空

穿越時空

发布时间:2026-02-26 13:43:59

|

547人浏览过

|

来源于php中文网

原创

composer licenses 命令仅显示当前项目 license 字段,不列任何依赖包许可证;真正可行的是 composer show --all(需 vendor 已安装)或解析 composer.lock(ci 友好),但二者字段来源不同、结果可能不一致。

composer如何查看包许可证_composer license合规检查【开源】

composer licenses 命令根本不管用

它只显示你当前项目的 license 字段(比如 myapp/myproject → MIT),**一个依赖包的许可证都不会列出来**。很多人一试就以为“全量扫描成功”,结果法务审核时才发现漏了 90% 的依赖。

  • 它不读 composer.lock,不查 vendor/,也不管 require-dev
  • 输出里只有顶层项目那一行,和“查看所有包许可证”完全无关
  • 官方文档没写清楚这点,导致大量误用

真正能批量查 license 的只有两个可靠路径

要么靠 composer show(需 vendor 已安装),要么直读 composer.lock(CI 友好、无需 install)。两者字段来源不同,结果可能不一致——这是常态,不是 bug。

厉害猫AI
厉害猫AI

遥遥领先的AI全职业办公写作平台

下载
  • composer show --format=json --all:列出所有已安装包(含 dev),.license 来自包的 composer.json 元数据,但若没运行过 composer install 就报错
  • jq -r '.packages[] | "\(.name)\t\(.version)\t\(.license // ["unknown"] | join(" | "))"' composer.lock:跳过 vendor,直接解析锁文件;但有些包在 lock 里 license 字段为空或为 URL(如 "https://example.com/LICENSE"),此时 jq 会输出 unknown
  • 二者 license 字段都只是作者填的字符串,"MIT" 不等于法律有效,"BSD-like" 更是等于没写

license 字段不是法律依据,只是线索

你看到 "license": ["MIT", "GPL-3.0"],不代表你可以随意选;看到 "license": "proprietary",也不代表它真受保护——很多私有包根本没 LICENSE 文件。

  • SPDX 标识符(如 MITApache-2.0)才具备工具识别基础,"BSD-3-Clause-Clear""BSD-3-Clause" 法律效力不同,但 composer 一律当字符串处理
  • 必须去源码仓库根目录找 LICENSELICENSE.md,用正则匹配全文(比如搜 GNU GENERAL PUBLIC LICENSE.*Version 3),否则过不了 ISO 合规审计
  • 某些 GitLab 私有包未配置 repositoriescomposer show 查不到,composer.lock 里又没写 license,只能手动翻代码

轻量合规检查推荐用 terrapiq/composer-license-check

它比原生命令多走一步:不仅读 license 字段,还尝试下载 LICENSE 文件做内容校验,并支持黑名单机制,适合 CI 阶段卡点。

  • 安装:composer require --dev terrapiq/composer-license-check
  • 运行:./vendor/bin/license-check,默认输出所有包 + license + 是否在黑名单中
  • 配置禁止 GPL:"forbidden": ["GPL-2.0", "GPL-3.0"] 写进 license-check.json 即可
  • 但它依然不解决“嵌套依赖带传染性协议”的问题(比如 MIT 包里含 GPL 子模块),这种得上 php-library-compliance 或人工审计
实际工作中,最常被忽略的是:license 字段为空 ≠ 没有许可证,而是作者懒得填;license 字段有值 ≠ 可商用,得看 LICENSE 文件原文和使用方式。别让一行 "license": "MIT" 成为你上线前的最后一道幻觉。

热门AI工具

更多
DeepSeek
DeepSeek

幻方量化公司旗下的开源大模型平台

豆包大模型
豆包大模型

字节跳动自主研发的一系列大型语言模型

通义千问
通义千问

阿里巴巴推出的全能AI助手

腾讯元宝
腾讯元宝

腾讯混元平台推出的AI助手

文心一言
文心一言

文心一言是百度开发的AI聊天机器人,通过对话可以生成各种形式的内容。

讯飞写作
讯飞写作

基于讯飞星火大模型的AI写作工具,可以快速生成新闻稿件、品宣文案、工作总结、心得体会等各种文文稿

即梦AI
即梦AI

一站式AI创作平台,免费AI图片和视频生成。

ChatGPT
ChatGPT

最最强大的AI聊天机器人程序,ChatGPT不单是聊天机器人,还能进行撰写邮件、视频脚本、文案、翻译、代码等任务。

相关专题

更多
composer是什么插件
composer是什么插件

Composer是一个PHP的依赖管理工具,它可以帮助开发者在PHP项目中管理和安装依赖的库文件。Composer通过一个中央化的存储库来管理所有的依赖库文件,这个存储库包含了各种可用的依赖库的信息和版本信息。本专题为大家提供相关的文章、下载、课程内容,供大家免费下载体验。

160

2023.12.25

json数据格式
json数据格式

JSON是一种轻量级的数据交换格式。本专题为大家带来json数据格式相关文章,帮助大家解决问题。

448

2023.08.07

json是什么
json是什么

JSON是一种轻量级的数据交换格式,具有简洁、易读、跨平台和语言的特点,JSON数据是通过键值对的方式进行组织,其中键是字符串,值可以是字符串、数值、布尔值、数组、对象或者null,在Web开发、数据交换和配置文件等方面得到广泛应用。本专题为大家提供json相关的文章、下载、课程内容,供大家免费下载体验。

544

2023.08.23

jquery怎么操作json
jquery怎么操作json

操作的方法有:1、“$.parseJSON(jsonString)”2、“$.getJSON(url, data, success)”;3、“$.each(obj, callback)”;4、“$.ajax()”。更多jquery怎么操作json的详细内容,可以访问本专题下面的文章。

324

2023.10.13

go语言处理json数据方法
go语言处理json数据方法

本专题整合了go语言中处理json数据方法,阅读专题下面的文章了解更多详细内容。

81

2025.09.10

format在python中的用法
format在python中的用法

Python中的format是一种字符串格式化方法,用于将变量或值插入到字符串中的占位符位置。通过format方法,我们可以动态地构建字符串,使其包含不同值。php中文网给大家带来了相关的教程以及文章,欢迎大家前来阅读学习。

866

2023.07.31

python中的format是什么意思
python中的format是什么意思

python中的format是一种字符串格式化方法,用于将变量或值插入到字符串中的占位符位置。通过format方法,我们可以动态地构建字符串,使其包含不同值。本专题为大家提供相关的文章、下载、课程内容,供大家免费下载体验。

452

2024.06.27

require的用法
require的用法

require的用法有引入模块、导入类或方法、执行特定任务。想了解更多require的相关内容,可以阅读本专题下面的文章。

504

2023.11.27

batoto漫画官网入口与网页版访问指南
batoto漫画官网入口与网页版访问指南

本专题系统整理batoto漫画官方网站最新可用入口,涵盖最新官网地址、网页版登录页面及防走失访问方式说明,帮助用户快速找到batoto漫画官方平台,稳定在线阅读各类漫画内容。

331

2026.02.25

热门下载

更多
网站特效
/
网站源码
/
网站素材
/
前端模板

精品课程

更多
相关推荐
/
热门推荐
/
最新课程
第二十四期_PHP8编程
第二十四期_PHP8编程

共86课时 | 3.4万人学习

成为PHP架构师-自制PHP框架
成为PHP架构师-自制PHP框架

共28课时 | 2.6万人学习

第二十三期_PHP编程
第二十三期_PHP编程

共93课时 | 7.3万人学习

关于我们 免责申明 举报中心 意见反馈 讲师合作 广告合作 最新更新
php中文网:公益在线php培训,帮助PHP学习者快速成长!
关注服务号 技术交流群
PHP中文网订阅号
每天精选资源文章推送

Copyright 2014-2026 https://www.php.cn/ All Rights Reserved | php.cn | 湘ICP备2023035733号