composer 无内置 licenses 命令,需用 composer show 配合过滤或 jsON 解析查看许可证;推荐使用 composer show –format=json | jq -r ‘.packages[] | “(.name) (.license // “UNKNOWN”)”‘ 批量获取包名与许可证。
Composer 本身没有内置的 licenses 命令,但你可以通过 composer show 结合过滤和格式化方式,快速查看所有已安装包的许可证信息。
使用 composer show 查看单个包的许可证
运行以下命令可查看某个特定包的详细信息,包括许可证:
composer show vendor/package-name
输出中会包含类似 license: MIT 或 license: apache-2.0 的字段。
批量列出所有包及其许可证(推荐)
执行下面这条命令,能一次性显示所有已安装包的名称和许可证:
composer show –no-ansi | grep -E ‘^(?![s]*$).*/.*s+[^[:space:]]+|^license:’ | awk ‘/^w/ {pkg=$0; next} /^license:/ {print pkg ” -> ” $2}’
更简单可靠的方式是使用 JSON 输出并用工具解析(需安装 jq):
Easily find JSON paths within JSON objects using our intuitive Json Path Finder
193 
composer show –format=json | jq -r ‘.packages[] | “(.name) (.license // “UNKNOWN”)”‘
这会输出形如:
monolog/monolog MIT
symfony/console MIT
psr/log MIT
检查许可证兼容性或生成报告
如果需要正式合规审查,可以借助第三方插件:
- 安装
composer-license-checker:运行composer global require edsonmedina/composer-license-checker - 然后执行
composer license-checker,它会列出所有包、许可证类型,并标出非标准许可 - 支持导出为 csv 或 html 报告,适合审计场景
注意许可证字段可能为空或不规范
不是所有包都在 composer.json 中正确声明 license 字段。常见情况包括:
- 值为
proprietary或unlicensed—— 需人工确认是否允许使用 - 多个许可证用数组表示(如
["MIT", "Apache-2.0"]),JSON 解析时需处理数组逻辑 - 有些包只写
BSD-3-Clause,而没注明全称,实际等同于标准 BSD 3-Clause 许可
基本上就这些,不复杂但容易忽略细节。