Composer 不生成 LICENSE 文件,其 composer.json 中的 "license" 字段仅为元数据声明许可证类型,不创建、读取或写入实际 LICENSE 文件;需手动添加或借助外部工具生成,并确保二者内容严格一致。
Composer 本身不生成 LICENSE 文件,也不提供内置命令或配置项来自动生成授权协议文件。所谓“composer 自动生成 LICENSE”是常见误解——composer.json 中的 "license" 字段仅用于声明项目所采用的许可证类型(如 "MIT"、"GPL-3.0"),它不会创建、写入或覆盖项目根目录下的 LICENSE 文件。
为什么 composer.json 的 license 字段 ≠ LICENSE 文件
"license" 是元数据字段,用途是供 Packagist 展示、依赖分析工具识别合规性、CI 检查许可证兼容性等。它不触发文件生成行为,也不会读取或写入磁盘上的 LICENSE 文本文件。
- 如果你运行
composer init,它会提示你输入 license 类型,但不会生成 LICENSE 文件 - 如果你手动在
composer.json中写"license": "MIT",项目根目录仍不会有 MIT 协议正文 - 某些 IDE 或模板脚手架(如 Laravel Installer)可能附带 LICENSE,但这和 Composer 无关
如何让项目真正拥有标准 LICENSE 文件
需要手动添加或借助外部工具生成。推荐以下轻量、可复现的方式:
- 直接从 choosealicense.com 复制对应协议正文,保存为项目根目录的
LICENSE(无后缀)或LICENSE.md - 用
curl快速下载官方文本(例如 MIT):curl -sL https://raw.githubusercontent.com/spdx/license-list-data/master/text/MIT.txt > LICENSE
- 若需自动化集成进开发流程,可用 npm 包
license-generator(Node.js 环境):npx license-generator mit --fullname "Your Name" --year "2024" --output LICENSE
- Git 初始化时也可一并处理:
git init && curl -sL https://raw.githubusercontent.com/spdx/license-list-data/master/text/MIT.txt > LICENSE && git add LICENSE
CI/CD 或团队协作中要注意的陷阱
很多安全扫描工具(如 license-checker、FOSSA、GitHub Dependabot)会同时检查 composer.json#license 和实际存在的 LICENSE 文件。二者不一致会导致误报或合规风险。
-
"license": "proprietary"却放了一个 MIT LICENSE 文件 → 工具可能报“许可证冲突” -
"license": "MIT"但没提供 LICENSE 文件 → 部分企业合规流程会拒绝入库 - 多许可证项目(如
"license": ["MIT", "Apache-2.0"])必须在 LICENSE 文件中明确说明组合方式,不能只选其一 - PHP 扩展或 PHAR 发布时,LICENSE 文件需与
composer.json同级且被归档打包,否则下游无法验证
真正关键的不是“怎么让 composer 生成”,而是确保 composer.json#license 值与实际 LICENSE 文件内容严格一致,并且该文件存在于发布包的根路径。这点在私有 Packagist 或 Satis 仓库中尤其容易被忽略。
