Depois de atualizar meu NPM para a versão mais recente (de 3.X para 5.2.0) e executar npm install
um projeto existente, recebo um package-lock.json
arquivo criado automaticamente.
Eu posso dizer que package-lock.json
me dá uma árvore de dependência exata, por oposição a package.json
.
A partir dessa informação, parece que package.json
é redundante e não é mais necessário.
Ambos são necessários para o NPM funcionar?
É seguro ou possível usar apenas o package-lock.json
arquivo?
Os docs no pacote-lock.json ( doc1 , doc2 faz) não mencionar nada sobre isso.
Editar :
Depois de pensar um pouco mais sobre isso, cheguei à conclusão de que, se alguém quiser usar seu projeto com uma versão mais antiga do NPM (anterior à 5.x), ainda assim instalará todas as dependências, mas com versões menos precisas (versões de patch)