IANAL, ma per quanto ho visto nei progetti open source, un "LICENSES.txt" o "LICENSES.md" è il modo più comune per farlo. In cui raggruppate le vostre dipendenze in base alle loro licenze (ad esempio, il primo blocco è il MIT, il secondo BSD, il terzo Apache2 ...).
Nome della licenza + nome del progetto dovrebbe essere sufficiente.
Se sei un po 'più gentile, includi un link per ogni licenza al testo ufficiale della licenza (es. link non utilizzare i link di Wikipedia ); o anche copiare il testo della licenza lì.
Se sei ancora più carino e il progetto ha solo una manciata di autori (ad esempio, non è Apache Maven con un lotto dei contributori ), quindi potresti elencare anche quegli autori, ma questo non l'ho visto in un uso diffuso.
P.s .: Ho un piccolo OCD, quindi farei molta attenzione a elencare veramente tutte le mie dipendenze. Con maven è fattibile con il plugin delle dipendenze, anche se può diventare piuttosto complicato abbastanza velocemente (ad esempio, cosa fai con un progetto che è sotto Apache2 ma ha una dipendenza GPL? Non può essere Apache2 in primo luogo, ma ti è ancora permesso utilizzarlo come Apache2? Secondo gli avvocati delle aziende: finché non si conosce la dipendenza (L) dalla GPL, si è pronti per andare. Questo è il motivo per cui non cerco mai le dipendenze transitorie, solo quelle dirette :))