Чи потрібні мені і package-lock.json, і package.json?

Після оновлення свого NPM до останньої версії (від 3.X до 5.2.0) та запуску npm installіснуючого проекту я отримую автоматично створений package-lock.jsonфайл.

Я можу сказати, package-lock.jsonдає мені точне дерево залежності на відміну від package.json.

Тільки з цієї інформації, здається, вона package.jsonє зайвою і більше не потрібна.

Чи обоє вони необхідні для роботи НПМ?
Чи безпечно чи можливо використовувати лише package-lock.jsonфайл?

Документи на package-lock.json ( doc1 , doc2 ) нічого про це не згадують.

Редагувати :

Ще трохи подумавши про це, я прийшов до висновку, що якщо хтось хоче використовувати ваш проект зі старішою версією NPM (до 5.x), він все одно встановить усі залежності, але з менш точними версіями (версії патчів)

Вам потрібно і те, package-lock.jsonі package.json? Ні .

Вам потрібна package.json? Так .

Чи можете у вас бути проект тільки з package-lock.json? Ні .

package.jsonВикористовуються для більш залежностей - як визначення властивостей проекту, опису, автор і ліцензії інформацію, скрипти і т.д. package-lock.jsonвиключно використовуються для залежностей блокування для ряду конкретних версій.

package-lock.json: записує точну версію кожного встановленого пакету, що дозволяє повторно встановити їх. Майбутні установки зможуть створити ідентичне дерево залежності.

package.json: записує мінімальну версію, яку потрібно додатку. Якщо ви оновлюєте версії певного пакету, зміна тут не відображатиметься.

Якщо у вас запитання, чи слід фіксувати файл блокування для вашого джерела контролю - він повинен. Він буде ігнорований за певних обставин.

Я виявив, що це запитання, які запитують, і записує історію, тож якщо ви бачите, що це змінюється, зробіть для цього окрему комісію.

Більш точне і детальне пояснення причини збереження пакета-lock.json можна знайти тут