Tôi có cần cả gói-lock.json và pack.json không?

Sau khi cập nhật NPM của tôi lên phiên bản mới nhất (từ 3.X đến 5.2.0) và chạy npm installtrên một dự án hiện có, tôi nhận được một package-lock.jsontệp tự động tạo .

Tôi có thể nói package-lock.jsoncho tôi một cây phụ thuộc chính xác trái ngược với package.json.

Chỉ từ thông tin đó, có vẻ như package.jsonlà dư thừa và không cần thiết nữa.

Cả hai đều cần thiết để NPM hoạt động?
Có an toàn hoặc có thể chỉ sử dụng các package-lock.jsontập tin?

Các tài liệu trên gói-lock.json ( doc1 , doc2 ) không đề cập bất cứ điều gì về điều đó.

Chỉnh sửa :

Sau khi suy nghĩ thêm về nó, tôi đã đi đến kết luận rằng nếu ai đó muốn sử dụng dự án của bạn với phiên bản NPM cũ hơn (trước 5.x) thì nó vẫn sẽ cài đặt tất cả các phụ thuộc, nhưng với các phiên bản kém chính xác hơn (phiên bản vá)

Bạn có cần cả hai package-lock.jsonvà package.json? Không .

Bạn có cần package.json? Có .

Bạn có thể có một dự án chỉ với package-lock.json? Không .

Cái package.jsonnày được sử dụng cho nhiều hơn phụ thuộc - như xác định các thuộc tính dự án, mô tả, thông tin tác giả và giấy phép, tập lệnh, v.v ... Chỉ package-lock.jsonđược sử dụng để khóa phụ thuộc vào một số phiên bản cụ thể.

package-lock.json: ghi lại phiên bản chính xác của từng gói được cài đặt cho phép bạn cài đặt lại chúng. Các bản cài đặt trong tương lai sẽ có thể xây dựng một cây phụ thuộc giống hệt nhau.

package.json: ghi lại phiên bản tối thiểu bạn cần. Nếu bạn cập nhật các phiên bản của một gói cụ thể, thay đổi sẽ không được phản ánh ở đây.

Nếu câu hỏi của bạn là nếu tập tin khóa nên được cam kết với kiểm soát nguồn của bạn - nó nên. Nó sẽ bị bỏ qua trong hoàn cảnh nhất định.

Tôi thấy nó yêu cầu kéo đầy và lịch sử cam kết, vì vậy nếu bạn thấy nó thay đổi, hãy thực hiện một cam kết riêng cho nó.

Một lời giải thích chính xác và chi tiết hơn về lý do đằng sau việc giữ gói-lock.json có thể được tìm thấy ở đây