<h1 id="tl%3Bdr">
<a class="header-anchor-link" href="#tl%3Bdr" aria-hidden="true"></a> TL;DR</h1>
<div class="code-block-container"><pre class="language-bash"><code class="language-bash">npx license-checker --json | \
jq '. | to_entries | map(select(.value.licenses | tostring | test("(BSD|MIT|ISC|Apache|CC0-1.0|CC-BY-2.0|CC-BY-3.0|CC-BY-4.0|Public Domain|Unlicense|wtfpl)") | not)) | map(select(.key | test("__ignore_pattern__") | not )) | length' | \
xargs -I{} test {} -eq 0
</code></pre></div><code>__ignore_pattern__</code> は、検証の対象から除外したいパッケージのパターンを入力してください。 
不要な場合は <code>| map(select(.key | test("__ignore_pattern__") | not ))</code> を削除します。
<h1 id="%E7%B5%8C%E7%B7%AF">
<a class="header-anchor-link" href="#%E7%B5%8C%E7%B7%AF" aria-hidden="true"></a> 経緯</h1>
以前 <a href="https://github.com/rails/rails/issues/41750" target="_blank" rel="nofollow noopener noreferrer">Ruby on Rails での GPL 汚染</a> の話があったので、 
Node.js のプロジェクトでも、ライセンスの検証を CI で回すようにしました。
このコマンドを導入したリポジトリの CI は Github Actions なのですが、 
<code>runs-on: ubuntu-latest</code>, <code>uses: actions/setup-node@v2</code> で <code>npx</code> も <code>jq</code> も使えます。
<h1 id="%E8%A7%A3%E8%AA%AC">
<a class="header-anchor-link" href="#%E8%A7%A3%E8%AA%AC" aria-hidden="true"></a> 解説</h1>
<a href="https://www.npmjs.com/package/license-checker" target="_blank" rel="nofollow noopener noreferrer">license-checker</a> は、依存関係があるパッケージのライセンスを出力してくれます。 
これを json で出力させるようにして、そこから <a href="https://stedolan.github.io/jq/manual/" target="_blank" rel="nofollow noopener noreferrer">jq</a> でフィルタリングし、 
<code>xargs</code> と <code>test</code> で結果が 0 であるかを比較しているだけです。
license-checker による json の出力は、たとえば typescript ですと以下のようになります。
<div class="code-block-container"><pre class="language-json"><code class="language-json">{
 "typescript@4.2.3": { 
 "licenses": "Apache-2.0", 
 "repository": "https://github.com/Microsoft/TypeScript", 
 "publisher": "Microsoft Corp.", 
 "path": "/path/to/node_modules/typescript", 
 "licenseFile": "/path/to/node_modules/typescript/LICENSE.txt" 
 },
}
</code></pre></div><code>jq</code> でのフィルタは、ひとまず以下をホワイトリストとして除外しています。
<ul>
<li><a href="https://ja.wikipedia.org/wiki/Apache_License" target="_blank" rel="nofollow noopener noreferrer">Apache</a></li>
<li><a href="https://ja.wikipedia.org/wiki/BSD%E3%83%A9%E3%82%A4%E3%82%BB%E3%83%B3%E3%82%B9" target="_blank" rel="nofollow noopener noreferrer">BSD</a></li>
<li>
<a href="https://ja.wikipedia.org/wiki/%E3%82%AF%E3%83%AA%E3%82%A8%E3%82%A4%E3%83%86%E3%82%A3%E3%83%96%E3%83%BB%E3%82%B3%E3%83%A2%E3%83%B3%E3%82%BA%E3%83%BB%E3%83%A9%E3%82%A4%E3%82%BB%E3%83%B3%E3%82%B9" target="_blank" rel="nofollow noopener noreferrer">クリエイティブ・コモンズ・ライセンス</a>
<ul>
<li>CC0-1.0</li>
<li>CC-BY-2.0</li>
<li>CC-BY-3.0</li>
<li>CC-BY-4.0</li>
</ul>
</li>
<li><a href="https://ja.wikipedia.org/wiki/ISC%E3%83%A9%E3%82%A4%E3%82%BB%E3%83%B3%E3%82%B9" target="_blank" rel="nofollow noopener noreferrer">ISC</a></li>
<li><a href="https://ja.wikipedia.org/wiki/MIT_License" target="_blank" rel="nofollow noopener noreferrer">MIT</a></li>
<li><a href="https://ja.wikipedia.org/wiki/%E3%83%91%E3%83%96%E3%83%AA%E3%83%83%E3%82%AF%E3%83%89%E3%83%A1%E3%82%A4%E3%83%B3" target="_blank" rel="nofollow noopener noreferrer">Public Domain</a></li>
<li><a href="https://ja.wikipedia.org/wiki/Unlicense" target="_blank" rel="nofollow noopener noreferrer">Unlicense</a></li>
<li><a href="https://ja.wikipedia.org/wiki/WTFPL" target="_blank" rel="nofollow noopener noreferrer">wtfpl</a></li>
</ul>

Node.js/パッケージのライセンスを検証する

Discussion