可通过composer show、第三方工具或解析composer.lock检查依赖许可证。1. 使用composer show --format=json结合jq提取license字段;2. 安装并运行terrapiq/composer-license-check进行合规检查,支持黑名单配置;3. 使用php-library-compliance等高级工具生成报告;4. 手动解析composer.lock文件,用PHP脚本提取所有包的许可证信息。推荐结合快速查看与专用工具审计,注意部分包可能缺少license声明需人工确认。
Composer 本身不直接提供检查所有依赖许可证的功能,但可以通过组合使用 Composer 命令和第三方工具来实现。以下是几种实用方法。
1. 使用 composer show 查看单个包的许可证
你可以用 composer show 命令查看已安装包的基本信息,包括许可证:
composer show --direct加上 --all 参数可列出所有依赖(包括嵌套):
composer show --format=json输出为 JSON 格式后,可以提取每个包的 license 字段。例如结合 PHP 脚本或 jq 处理:
composer show --format=json | jq '.[].license'2. 使用 composer-license-check 工具
这是一个专门用于检查 Composer 项目中依赖许可证的开源工具:
安装:
composer require --dev terrapiq/composer-license-check运行检查:
./vendor/bin/license-check
它会列出所有依赖及其许可证类型,并支持配置黑名单(如不允许 GPL 包)。
3. 使用 php-library-compliance 或其他合规工具
更高级的方案是使用 php-library-compliance 或集成 CI 的工具,能生成许可证报告、导出声明文件等。
这类工具通常会:
- 递归分析 composer.lock 中的所有包
- 抓取 license 字段(可能有多个,如 "MIT", "proprietary")
- 尝试下载 LICENSE 文件进行验证
- 输出 HTML 或 CSV 报告
4. 手动解析 composer.lock 文件
composer.lock 包含了所有依赖的精确版本和元信息。你可以写一个简单的 PHP 脚本读取它并提取 license 字段:
$data = json_decode(file_get_contents('composer.lock'), true); foreach ($data['packages'] as $pkg) { $name = $pkg['name']; $license = isset($pkg['license']) ? implode(', ', (array)$pkg['license']) : 'unknown'; echo "$name: $license\n"; }这种方法灵活,可集成到自动化流程中。
基本上就这些。推荐结合 composer show --format=json 快速查看,或使用 composer-license-check 进行正式审计。注意有些包可能未正确填写 license 字段,需手动确认。
