使用composer show –format=json结合脚本可导出依赖包及其许可证信息,通过解析JSON提取license字段并处理多许可证或缺失情况,最终生成CSV等格式的许可证清单,满足合规需求。
在使用 Composer 管理 PHP 项目依赖时,了解第三方库的许可证信息对合规非常重要。Composer 自身没有内置直接导出许可证列表的命令,但可以通过组合使用 composer show 和一些脚本方式来获取依赖包及其许可证信息。
1. 使用 composer show 查看已安装包的许可证
运行以下命令可以列出当前项目中所有已安装的依赖包及其基本信息,包括许可证类型:
composer show –installed –format=json
该命令输出 JSON 格式数据,其中包含 license 字段。你可以从中提取许可证信息。
2. 导出许可证信息到文本文件
将依赖及其许可证导出为可读格式(如文本或 CSV),可使用如下 shell 命令(适用于 Linux/macOS):
composer show –direct –format=json | php -r ” $data = json_decode(file_get_contents(‘php://stdin’), true); echo “Package,Licensen”; foreach ($data as $package) { $name = $package[‘name’]; $license = isset($package[‘extra’][‘branch-alias’]) || !isset($package[‘license’]) ? ‘unknown’ : (is_array($package[‘license’]) ? implode(‘,’, $package[‘license’]) : $package[‘license’]); echo “$name,$licensen”; } ” > licenses.csv
说明:
-
composer show --direct只显示项目直接依赖(可改为--all包含所有间接依赖) - 通过 PHP 一行脚本解析 JSON 并提取包名和许可证
- 结果保存为
licenses.csv,可用 Excel 或文本编辑器打开
3. 处理多许可证和缺失情况
某些包可能有多个许可证(如 MIT + BSD),以数组形式返回;有些可能没有声明。建议在脚本中做如下处理:
- 判断
license是否存在,否则标记为unknown - 若为数组,用逗号拼接
- 部分包可能把许可证放在
extra或其他字段,需结合实际情况调整脚本
4. 使用第三方工具(可选)
如果你需要更完整的许可证扫描功能,可考虑使用:
- PHP License Checker:静态分析依赖并报告许可证
- FOSSA 或 Snyk:集成 CI/CD,自动识别许可证风险
这些工具能自动解析 composer.lock 并提供可视化报告。
基本上就这些。虽然 Composer 没有 composer licenses 这样的原生命令,但通过 composer show --format=json 配合简单脚本,就能实现许可证信息导出。关键是根据项目需求选择直接依赖还是全部依赖,并妥善处理缺失或多种许可证的情况。
以上就是php linux excel js json composer 工具 mac csv macos cos php composer json echo foreach format macos linux excel