composer的license字段仅为元数据,真实法律效力依赖license文件、源码头部spdx注释及实际分发内容;packagist仅识别spdx标准标识符,须严格匹配大小写与连字符,多许可证用数组,闭源填”proprietary”,authors必须为根级数组且含name和email。
Composer的license字段只是元数据,不等于法律授权
改完composer.json里的"license": "MIT",项目并不会自动获得MIT许可——它只是告诉Packagist和扫描工具“我们声称用这个协议”,真实效力来自三样东西:LICENSE文件、源码头部SPDX注释(如SPDX-License-Identifier: MIT)、以及你实际分发的内容。
- 没放
LICENSE文件?那license字段就是空谈,别人不敢用,合规工具直接标“未授权” - 写了
"license": "BSD"但没写全?SPDX不认,Packagist显示unknown,CI扫描报黄灯 - 用
"license": "See LICENSE file"这类描述?机器无法解析,composer licenses命令拿不到值
怎么填才被Packagist识别、被工具信任
Packagist只认SPDX官方列表里的标准标识符,大小写、连字符、后缀都必须严丝合缝。比如AGPL-3.0-only ≠ AGPL-3.0,apache-2.0不能写成apache2或Apache 2.0。
- 单许可证:直接写字符串,如
"MIT"、"GPL-3.0-only" - 多许可证(“可任选其一”):用数组,如
["MIT", "Apache-2.0"] - 闭源商用:写
"proprietary",别写"commercial"或"closed"——后者不被SPDX收录 - 验证是否合法:
composer validate能查JSON语法,但不会校验SPDX;手动比对SPDX官网列表最可靠
composer licenses命令为什么有时不显示许可证
执行composer licenses却看到一堆空白或unknown?不是你的命令错了,大概率是依赖包自己填错了license字段,或者压根没填。
- 该命令只读取已安装包
composer.lock中记录的license值,不回溯源码或LICENSE文件 - 常见失效场景:
"license": NULL、"license": {}、"license": "MIT "(尾部空格)、把字段塞进require对象里 - 排查建议:用
composer show vendor/package-name单独看某个包的license字段原始值 - 想绕过vendor目录?直接解析
composer.lock:jq -r '.packages[] | select(.license != null) | "(.name)t(.license)"' composer.lock
作者信息authors和许可证必须一起配,否则不完整
Packagist展示页右上角的许可证徽章+作者列表,是合规审计第一眼就扫的地方。缺authors,哪怕license全对,也会被标记为“元数据缺失”。
-
authors必须是数组,每项至少含name;email强烈建议加,否则安全通告没法触达 - 别把多个作者塞进一个对象里,下面这种写法无效:
{"name": "张三, 李四"} - 正确示例:
"authors": [ {"name": "张三", "email": "zhangsan@example.com", "role": "Maintainer"}, {"name": "李四", "email": "lisi@example.com", "role": "Contributor"} ] - 注意:
license和authors都必须在composer.json根级,缩进错一层、包在autoload下面,Packagist就当不存在
实际项目里最容易被忽略的,是license字段和LICENSE文件的同步——改了JSON没更新文本文件,或改了文件名(比如叫LICENCE或license.txt),工具链就断了。SPDX标识符拼写错误,比语法错误更难发现,因为composer validate完全不报。