Czy potrzebuję zarówno package-lock.json, jak i package.json?

Po zaktualizowaniu mojego NPM do najnowszej wersji (z 3.X do 5.2.0) i uruchomieniu npm installna istniejącym projekcie, otrzymuję automatycznie utworzony package-lock.jsonplik.

Mogę powiedzieć, że package-lock.jsondaje mi dokładne drzewo zależności, w przeciwieństwie do package.json.

Na podstawie samych tych informacji wydaje się, że package.jsonsą one zbędne i nie są już potrzebne.

Czy oba są niezbędne do działania NPM?
Czy użycie samego package-lock.jsonpliku jest bezpieczne lub możliwe ?

Dokumentacja na package-lock.json ( doc1 , doc2 ) nic o tym nie wspomina.

Edycja :

Po dłuższym przemyśleniu doszedłem do wniosku, że jeśli ktoś chciałby używać twojego projektu ze starszą wersją NPM (przed 5.x), to nadal instalowałby wszystkie zależności, ale z mniej dokładnymi wersjami (wersje łatek)

Czy potrzebujesz obu package-lock.jsoni package.json? Nie .

Czy potrzebujesz package.json? Tak .

Czy możesz mieć projekt tylko z package-lock.json? Nie .

package.jsonJest używany przez ponad zależnościami - jak definiowanie właściwości projektu, opis, autor i licencja informacyjnych, skrypty, itp package-lock.jsonsą wykorzystywane wyłącznie do zamka zależności do liczby określonej wersji.

package-lock.json: rejestruje dokładną wersję każdego zainstalowanego pakietu, co pozwala na ich ponowne zainstalowanie. Przyszłe instalacje będą mogły zbudować identyczne drzewo zależności.

package.json: rejestruje minimalną wersję, której potrzebuje aplikacja. Jeśli zaktualizujesz wersje określonego pakietu, zmiana nie zostanie tutaj odzwierciedlona.

Jeśli twoje pytanie dotyczy tego, czy plik blokady powinien być przypisany do kontroli źródła - powinien. W pewnych okolicznościach zostanie zignorowany.

Zauważyłem, że wzdęcia są żądaniami ściągnięcia i historią zatwierdzeń, więc jeśli zauważysz, że to się zmienia, zrób dla tego osobne zatwierdzenie.

Dokładniejsze i szczegółowe wyjaśnienie powodu utrzymywania pliku package-lock.json można znaleźć tutaj