Hem package-lock.json hem de package.json'a ihtiyacım var mı?

NPM'mi en son sürüme (3.X'ten 5.2.0'a) güncelledikten ve npm installmevcut bir projede çalıştıktan sonra otomatik olarak oluşturulmuş bir package-lock.jsondosya alıyorum .

Anlarım package-lock.jsonaksine bana kesin bir bağımlılık ağacı verir package.json.

Sadece bu bilgilerden package.json, artık gereksiz gibi görünüyor ve artık gerekli değil.

Her ikisi de NPM'nin çalışması için gerekli mi?
Yalnızca package-lock.jsondosyayı kullanmak güvenli veya mümkün mü?

Package-lock.json ( doc1 , doc2 ) üzerindeki dokümanlar bundan hiç bahsetmiyor.

Düzenle :

Biraz daha düşündükten sonra, birisi projenizi NPM'nin eski bir sürümüyle (5.x'ten önce) kullanmak istiyorsa, yine de tüm bağımlılıkları yükleyeceği, ancak daha az doğru sürümlerle (yama sürümleri) sonucuna vardım.

İhtiyacınız mı hem package-lock.jsonve package.json? Hayır .

İhtiyacınız var package.jsonmı? Evet .

Sadece ile bir projeniz olabilir mi package-lock.json? Hayır .

package.jsonBağımlılıkları daha kullanılır - proje özelliklerini, açıklaması, yazar ve lisans bilgi, komut dosyaları, tanımlama gibi package-lock.jsonyalnızca belirli bir versiyon numarasına kilit bağımlılıklar için kullanılır.

package-lock.json: her kurulu paketin tam sürümünü kaydederek bunları yeniden kurmanızı sağlar. Gelecekteki yüklemeler, aynı bağımlılık ağacı oluşturabilir.

package.json: uygulamanızın gerektirdiği minimum sürümü kaydeder. Belirli bir paketin sürümlerini güncellerseniz, değişiklik buraya yansıtılmayacaktır.

Sorunuz kilit dosyasının kaynak denetiminize bağlı olup olmayacağı ise - olmalıdır. Belirli koşullar altında göz ardı edilecektir.

Çekme isteklerini ve taahhüt geçmişini şişirdiğini buldum, bu yüzden değiştiğini görürseniz, bunun için ayrı bir taahhüt yapın.

Package-lock.json dosyasını saklamanın nedeninin daha doğru ve ayrıntılı bir açıklaması burada bulunabilir