Python包许可证查询工具推荐

Python项目中已安装包的许可证信息往往分散、不规范且难以批量获取，仅靠pip show无法满足合规审计需求；真正可靠的license数据需深入解析dist-info/METADATA等元数据文件，推荐使用pip-licenses工具导出CSV或SPDX标准化格式，但必须人工复核其准确性与法律兼容性——因为自动化只能采集信息，而MIT、Apache、GPL、AGPL等许可类型在商用、开源和网络服务场景下的法律约束截然不同，任何关键项目都需结合依赖树递归扫描、SBOM生成及人工判定，才能真正守住合规底线。

pip show 无法批量导出 license 字段

直接用 pip show package_name 能看到单个包的 License 字段，但多数包实际填的是空值、模糊描述（如 "MIT"）、或根本没填——pip show 不会帮你补全、标准化或 fallback 到 METADATA 文件里的真实声明。更麻烦的是，它不支持通配符或批量查询，手动敲几十个包名不现实。

• 真正可用的 license 信息通常藏在包的 dist-info/METADATA 或 PKG-INFO 文件里，字段名可能是 License、Classifier: License，甚至分散在多行
• 有些包（比如 numpy）在 pip show 中显示 License: BSD，但实际 METADATA 里写的是 License: BSD-3-Clause，细粒度差异对合规审计很关键
• 别依赖 pip list --outdated 附带的 license 输出——它压根不输出 license 字段

用 pip-licenses 工具最省事但要注意输出格式陷阱

pip-licenses 是目前最接近开箱即用的方案，它会自动解析每个已安装包的元数据，并尝试提取 license 信息。但它默认输出 HTML，对后续自动化处理不友好；且对部分包（如从本地 path 安装的、editable 模式安装的）可能漏读。

• 装它：pip install pip-licenses
• 生成纯文本 CSV（推荐用于审计）：pip-licenses --format=csv --output-file=licenses.csv
• 若要兼容 SPDX 标准化输出（如把 "MIT License" 映射为 MIT），加参数：--format=markdown --with-urls --with-notice-file，再配合脚本清洗
• 注意：它不会检测 license 冲突（比如 GPL 包依赖 MIT 包是否合规），只做信息采集

自己写脚本解析 dist-info 更可控，但得绕过 importlib.metadata 的兼容问题

Python 3.8+ 推荐用 importlib.metadata，但低版本得回退到 pkg_resources；两者返回的 license 字段行为不一致——metadata.get("License") 可能为空，而 metadata.get_all("Classifier") 里才藏着 License :: OSI Approved :: MIT License 这类结构化信息。

• 核心逻辑是遍历 site-packages 下所有 *-dist-info 目录，读取 METADATA 文件
• 优先匹配 License: 行，其次扫描所有 Classifier: 行，用正则提取 SPDX ID（例如 re.search(r"License\s*::\s*OSI Approved\s*::\s*(.+)", line)）
• 对 pyproject.toml 构建的包，还要考虑 License-Expression 字段（如 Apache-2.0 OR MIT），这个字段 pip-licenses 目前不识别

法律合规审计真正卡点不在获取 license，而在分类与判定

拿到列表只是第一步。MIT/BSD/Apache-2.0 属于宽松许可，可商用闭源；GPL/LGPL 要求衍生作品开源；AGPL 还要求网络服务也开源。同一项目混用不同许可时，必须人工核对兼容性矩阵。

• 别把 License: UNKNOWN 当作“无限制”——大概率是包作者没填，得去 GitHub 仓库的 LICENSE 文件里手动确认
• 注意子依赖：你没直接安装 urllib3，但 requests 依赖它，合规扫描必须递归展开全部依赖树（pipdeptree --reverse --packages requests）
• 企业级审计常需输出 SBOM（软件物料清单），此时建议用 pip-audit + cyclonedx-python 组合，而非只盯 license 字段

license 字段本身噪声大、填写随意，靠自动化工具扫出来的结果必须人工复核，尤其关注那些 Classifier 里写了多个 License、或声明了“Proprietary”却依赖 GPL 包的情况。

今天带大家了解了的相关知识，希望对你有所帮助；关于文章的技术知识我们会一点点深入介绍，欢迎大家关注golang学习网公众号，一起学习编程~