Preciso do package-lock.json e do package.json?

Depois de atualizar meu NPM para a versão mais recente (de 3.X para 5.2.0) e executar npm installum projeto existente, recebo um package-lock.jsonarquivo criado automaticamente.

Eu posso dizer que package-lock.jsonme dá uma árvore de dependência exata, por oposição a package.json.

A partir dessa informação, parece que package.jsoné redundante e não é mais necessário.

Ambos são necessários para o NPM funcionar?
É seguro ou possível usar apenas o package-lock.jsonarquivo?

Os docs no pacote-lock.json ( doc1 , doc2 faz) não mencionar nada sobre isso.

Editar :

Depois de pensar um pouco mais sobre isso, cheguei à conclusão de que, se alguém quiser usar seu projeto com uma versão mais antiga do NPM (anterior à 5.x), ainda assim instalará todas as dependências, mas com versões menos precisas (versões de patch)

Você precisa de ambos package-lock.jsone package.json? Não .

Você precisa do package.json? Sim .

Você pode ter um projeto apenas com o package-lock.json? Não .

Ele package.jsoné usado para mais do que dependências - como definir propriedades do projeto, descrição, informações sobre autor e licença, scripts etc. Ele package-lock.jsoné usado apenas para bloquear dependências para um número de versão específico.

package-lock.json: registra a versão exata de cada pacote instalado que permite reinstalá-los. Instalações futuras poderão criar uma árvore de dependência idêntica.

package.json: registra a versão mínima necessária para o seu aplicativo. Se você atualizar as versões de um pacote específico, a alteração não será refletida aqui.

Se sua pergunta é se o arquivo de bloqueio deve ser confirmado no seu controle de origem - deve. Será ignorado sob certas circunstâncias.

Eu achei incômodas solicitações pull e histórico de confirmação, portanto, se você vê isso mudar, faça um commit separado.

Uma explicação mais precisa e detalhada da razão por trás da manutenção do package-lock.json pode ser encontrada aqui