Dopo aver aggiornato il mio NPM all'ultima versione (dalla 3.X alla 5.2.0) ed eseguito npm install
su un progetto esistente, ottengo un package-lock.json
file creato automaticamente .
Posso dire che package-lock.json
mi dà un albero delle dipendenze esatto rispetto a package.json
.
Da quelle sole informazioni, sembra package.json
ridondante e non più necessario.
Sono entrambi necessari per far funzionare NPM?
È sicuro o possibile utilizzare solo il package-lock.json
file?
I documenti su package-lock.json ( doc1 , doc2 ) non menzionano nulla al riguardo.
Modifica :
Dopo averci pensato un po 'di più, sono giunto alla conclusione che se qualcuno volesse usare il tuo progetto con una versione precedente di NPM (prima di 5.x), installerebbe comunque tutte le dipendenze, ma con versioni meno accurate (versioni di patch)