答案:出现"No licenses specified"警告是因依赖包未声明license字段,虽不影响运行但涉及合规风险。应检查报错包的仓库,通过提交PR补充license信息,或配置忽略警告、替换为修复版本,建议开发中始终明确许可证以确保合规。
当使用 Composer 安装或更新 PHP 包时,出现 "No licenses specified" 警告,意味着某个依赖包的 composer.json 文件中没有定义 license 字段。这个警告本身不会阻止代码运行,但会影响项目合规性管理,尤其是在企业环境中需要追踪开源许可证类型。
理解警告来源
该警告通常出现在以下情况:
- 你安装的第三方包未在
composer.json中声明license - 某些开发阶段的包、私有包或老旧包常忽略此字段
- 使用
composer install --strict-license时会直接报错而非警告
注意:这不是你项目的问题,而是你所依赖的包缺少许可证声明。
解决方案一:忽略警告(适用于非严格环境)
如果你无法控制依赖包,且项目不要求严格的许可证检查,可以通过配置 Composer 忽略此类问题:
- 在项目的
composer.json中添加如下配置:
同时避免使用 --strict-license 参数。默认情况下 Composer 只是提示,不会中断流程。
解决方案二:提交 PR 修复上游包
最根本的解决方式是为缺失许可证的包贡献补丁:
- 找到报错的包(Composer 输出中会列出)
- 访问其 GitHub/GitLab 仓库
- 查看项目实际使用的许可证(通常在 LICENSE 文件中)
- 编辑其
composer.json,添加如:"license": "MIT"或"license": "BSD-3-Clause" - 提交 Pull Request
一旦合并并发布新版本,你可升级依赖消除警告。
解决方案三:临时替换或锁定安全版本
若某包长期不维护,可考虑:
- 寻找社区维护的 Fork 版本(如
forked/package-name) - 使用
repositories配置指向你修复过的分支 - 示例:
然后要求该包版本指向你的修复分支。
预防建议
- 自己开发的包务必在
composer.json添加license字段 - 使用工具如 Ocramius/PackageVersions 或许可证扫描器定期审计依赖
- 企业项目建议建立内部私有镜像仓库,统一管理合规依赖
基本上就这些。虽然“No licenses specified”只是警告,但重视许可证信息有助于规避法律风险。能修就向上游提 PR,不能修就合理配置忽略,关键是清楚每个依赖从哪来、用的什么协议。
