Какова основная функция файла package-lock.json в проекте Node.js?

Что хотят услышать интервьюеры:

package-lock.json фиксирует точные версии зависимостей и их дерево установки, чтобы сборка проекта была воспроизводимой. Он помогает всем разработчикам и CI/CD ставить одинаковый набор пакетов. Обычно его коммитят в репозиторий вместе с package.json.

Определение:

package-lock.json — это файл блокировки зависимостей в Node.js-проекте, который сохраняет конкретные версии всех установленных пакетов, включая вложенные зависимости. Его основная задача — обеспечить одинаковую установку зависимостей на разных машинах и при разных запусках команды установки.

Пример использования:

Допустим, в проекте используется express версии ^4.18.0. Без lock-файла при следующей установке может подтянуться более новая подходящая версия 4.x.x, а с package-lock.json будет установлен именно тот набор версий, который уже был зафиксирован.

{
  "dependencies": {
    "express": {
      "version": "4.18.2",
      "resolved": "https://registry.npmjs.org/express/-/express-4.18.2.tgz",
      "integrity": "sha512-..."
    }
  }
}

Пояснение кода:

В этом фрагменте показано, что для express зафиксирована конкретная версия 4.18.2, ссылка на архив пакета и контрольная сумма. Это значит, что при установке npm сможет загрузить именно этот пакет, а не любой другой, подходящий по диапазону из package.json. Благодаря этому локально, на CI и у коллег будет одинаковый результат.

Ключевые моменты:

• package.json задает диапазоны допустимых версий, а package-lock.json фиксирует фактически установленный набор.
• Помогает избежать ситуации, когда у разных разработчиков ставятся разные версии одних и тех же зависимостей.
• Улучшает воспроизводимость сборок и стабильность CI/CD.
• Обычно его нужно коммитить в Git.
• Не стоит редактировать вручную: файл должен обновляться менеджером пакетов.