Чем отличается package.json от package-lock.json?

Question

package.json описывает зависимости и допустимые диапазоны их версий. package-lock.json фиксирует конкретные версии установленных пакетов и их дерево зависимостей. package.json нужен для описания проекта, а package-lock.json — для воспроизводимых установок. Они дополняют друг друга. Вместе они обеспечивают стабильность окружения.

YeaHub · Accepted Answer

В JavaScript-проектах используется два файла для работы с зависимостями, каждый из которых решает свою задачу.Назначение package.jsonpackage.json описывает требования проекта.Он содержит:список зависимостейверсии или диапазоны версийскрипты и метаданные проектаПример версии зависимости:"react": "^18.2.0"
Это означает, что допустимы обновления в рамках мажорной версии.Назначение package-lock.jsonpackage-lock.json фиксирует результат установки зависимостей.Особенности:содержит точные версии пакетовописывает полное дерево зависимостейавтоматически генерируется npmЭтот файл гарантирует, что:все разработчики получают одинаковые версии пакетовсборка в CI совпадает с локальной средойКлючевое различиеpackage.json отвечает на вопрос:какие зависимости нужны проектуpackage-lock.json отвечает на вопрос:какие версии реально установленыВыводpackage.json задаёт правила, а package-lock.json фиксирует конкретное состояние зависимостей, обеспечивая воспроизводимость сборки.