package-lock.jsonとpackage.jsonの両方が必要ですか？

NPMを最新バージョン（3.Xから5.2.0に）に更新npm installし、既存のプロジェクトで実行した後、自動作成されたpackage-lock.jsonファイルを取得します。

とはpackage-lock.json対照的に、正確な依存関係ツリーを提供することができますpackage.json。

その情報だけから、それpackage.jsonは冗長で、もう必要ないようです。

NPMが機能するためには、どちらも必要ですか？ ファイル
のみを使用することは安全package-lock.jsonですか、それとも可能ですか？

package-lock.json（doc1、doc2）のドキュメントでは、それについて何も言及されていません。

編集：

それについて少し考えた後、誰かが古いバージョンのNPM（5.xより前）でプロジェクトを使用したい場合でも、依存関係はすべてインストールされますが、バージョン（パッチバージョン）は正確ではないという結論に達しました

package-lock.jsonとの両方が必要package.jsonですか？いいえ。

あなたは必要package.jsonですか？はい。

あなただけのプロジェクトはありpackage-lock.jsonますか？いいえ。

package.jsonなど、プロジェクトのプロパティ、説明、作者とライセンス情報、スクリプトを定義するように-以上の依存関係のために使用されているpackage-lock.jsonだけに、特定のバージョン番号にロックの依存関係に使用されています。

package-lock.json：インストールされた各パッケージの正確なバージョンを記録し、再インストールできるようにします。将来のインストールでは、同じ依存関係ツリーを構築できるようになります。

package.json：アプリが必要とする最小バージョンを記録します。特定のパッケージのバージョンを更新しても、変更はここには反映されません。

あなたの質問がロックファイルがあなたのソース管理にコミットされるべきかどうかであるならば-それはそうするべきです。特定の状況下では無視されます。

私はそれがプルリクエストとコミット履歴を膨らませているのを見つけたので、それが変わったのを見るなら、それのために別のコミットをしてください。

package-lock.jsonを保持する理由のより正確で詳細な説明は、こちらにあります