Composer的licenses命令如何导出项目的所有依赖许可？（合规性检查）

Composer 无内置 licenses 命令，需通过 composer-license-plugin 插件（支持 JSON/CSV/TXT/Markdown 格式导出）或原生命令+脚本提取许可信息；合规报告需结合 composer-license-checker 下载 LICENSE 文件，并人工核查 license 字段真实性及嵌套依赖条款。

Composer 本身没有内置的 licenses 命令，但可以通过插件或组合命令实现依赖许可信息的导出，用于合规性检查。

使用 composer-license-plugin 插件导出许可信息

这是最常用、最直接的方式。该插件为 Composer 添加了 licenses 子命令，能以多种格式（如 JSON、CSV、TXT）列出所有依赖及其许可证。

• 安装插件：composer global require daveposner/composer-license-plugin（全局安装）或 composer require --dev daveposner/composer-license-plugin（项目本地安装）
• 执行导出：composer licenses --format=json > licenses.json（输出 JSON 格式到文件）
• 支持格式包括：txt（简洁文本）、markdown、csv、json，适合不同审计场景
• 注意：插件会读取每个包 composer.json 中的 license 字段，若未声明或值为 proprietary、unlicensed，需人工核查源码或 LICENSE 文件

用原生命令 + 脚本提取基础许可信息

不依赖插件时，可结合 composer show --tree 和 composer show vendor/package 手动提取，或写简短脚本批量获取。

万知

万知: 你的个人AI工作站

156

查看详情

• 查看单个包许可：composer show monolog/monolog | grep license
• 批量提取（Linux/macOS 示例）：
  composer show --name-only --no-ansi | xargs -I{} sh -c 'echo "{}: $(composer show {} | grep license | cut -d" " -f2-)"'
• 结果较简略，不包含许可证全文或 SPDX ID，仅作初步筛查

生成合规性就绪的报告（含许可证文本）

仅知道许可证名称不够，法律合规常需实际 LICENSE 文件内容。推荐结合工具补全：

• 使用 composer-license-checker：可下载并归档各依赖的 LICENSE 文件，生成带链接的 HTML 报告
• 配合 composer install --no-dev 确保只扫描生产依赖，避免开发工具带来的许可干扰
• 对 license 字段为空或为 MIT 等缩写的情况，应检查包仓库根目录是否存在 LICENSE 或 LICENSE.md

注意事项与常见问题

导出结果不能直接等同于法律合规结论，还需人工判断：

• 某些包声明 MIT，但实际代码中混入 GPL 片段——需扫描源码（如用 FOSSA、ScanCode）
• proprietary 或 unlicensed 表示无明确开源许可，禁止在开源项目中直接使用
• 注意嵌套依赖：主依赖 A 使用 MIT，但其依赖 B 是 AGPLv3，则整个链路可能受强传染性条款约束
• Composer 不验证 license 字段真实性，一切以包发布源的元数据和文件为准

以上就是Composer的licenses命令如何导出项目的所有依赖许可？（合规性检查）的详细内容，更多请关注php中文网其它相关文章！