Composer 无内置 license 命令,composer show --licenses 可查看顶层依赖许可证(未声明则显示 unknown),插件 zicht/composer-license-plugin 支持导出 JSON/HTML 等格式,手动解析 composer.lock 亦可提取 license 字段,但所有方法均需人工核对源码 LICENSE 文件。
Composer 本身没有内置的 license 命令,也**不直接支持一键导出所有依赖的授权信息清单**。所谓“composer license”是常见误解——该命令并不存在,运行会报错 Command "license" is not defined.。
用 composer show --licenses 查看各包许可证类型
这是最接近需求的原生命令,能列出每个已安装包的名称、版本和许可证(如果 composer.json 中声明了 license 字段):
composer show --licenses
注意点:
- 仅显示顶层依赖 + 直接解析到的 license 字段值(如
MIT、Apache-2.0),不递归展开子依赖的 license(除非它们也被show列出) - 若包未在
composer.json声明license,此处显示为unknown,不代表无许可证,只是未标注 - 输出是纯文本,不带格式、无 JSON/CSV 结构,不适合自动化处理
用 composer licenses 插件生成结构化清单
官方不提供,但社区有稳定插件 zicht/composer-license-plugin,安装后支持 composer licenses 命令,可导出 HTML / JSON / Markdown 等格式:
composer global require zicht/composer-license-plugin composer licenses --format=json > licenses.json
关键行为:
- 会遍历
vendor/下所有包,读取各自composer.json的license字段 - 对未声明 license 的包,尝试从其 LICENSE 文件内容启发式识别(如匹配
MIT License关键字) -
--format=html生成带超链接的可读页面,适合人工审核;--format=json更适合集成进 CI 或合规检查流程 - 部分包 license 字段写的是
proprietary或unlicensed,需人工确认是否符合你项目的分发要求
手动解析 composer.lock 提取 license 字段(无插件方案)
如果你不能装全局插件,又需要机器可读结果,可直接解析 composer.lock(它是合法 JSON):
jq -r '.packages[] | select(.license != null) | "\(.name)\t\(.version)\t\(.license[])"' composer.lock | sort -u
说明:
- 用
jq提取所有含license字段的包,按 name/version/license 打印制表符分隔行 -
.license[]是因为 license 可能是字符串或数组(如["MIT", "GPL-2.0"]),需展开 - 该方式**跳过未声明 license 的包**,也不会读 LICENSE 文件,结果比插件保守
- 若项目用了
platform或package类型仓库,这些条目不会出现在.packages中,需额外处理.packages-dev和packages合并逻辑
真正麻烦的不是怎么导出,而是 license 字段常不准确:有的包写了 BSD-3-Clause,实际 LICENSE 文件却是 Apache-2.0;有的 fork 项目没更新 license 声明。导出清单只是起点,最终仍需人工核对源码仓库中的 LICENSE 文件原文。
