我是否需要package-lock.json和package.json？

将我的NPM更新到最新版本（从3.X到5.2.0）并npm install在现有项目上运行后，我得到了一个自动创建的package-lock.json文件。

我可以告诉package-lock.json给我一个确切的依赖树，而不是package.json。

仅从该信息来看，似乎package.json是多余的，不再需要。

它们都是NPM运作所必需的吗？
仅使用该package-lock.json文件是否安全？

package-lock.json（doc1，doc2）上的文档未提及任何内容。

编辑：

经过一番思考之后，我得出的结论是，如果有人想将您的项目与NPM的较旧版本（5.x之前）一起使用，它将仍然安装所有依赖项，但版本不那么准确（补丁版本）

您是否同时需要package-lock.json和package.json？没有。

您需要package.json吗？是的。

您可以仅拥有一个项目package-lock.json吗？没有。

不仅package.json用于依赖项-例如定义项目属性，描述，作者和许可证信息，脚本等。package-lock.json只能用于将依赖项锁定到特定的版本号。

package-lock.json：记录每个已安装软件包的确切版本，以便您重新安装它们。将来的安装将能够构建相同的依赖关系树。

package.json：记录您的应用所需的最低版本。如果您更新特定软件包的版本，则更改不会在此处反映出来。

如果您的问题是是否应将锁定文件提交给源代码控制，则应该这样做。在某些情况下它将被忽略。

我发现它膨胀了请求请求和提交历史记录，因此，如果您发现它有所更改，请对其进行单独的提交。

有关保留package-lock.json的原因的更准确和详细的解释，请参见此处。