package-lock.json 是否需要提交到版本控制，有什么作用？

当然提交啊，依赖版本统一化

@huijiewei #1 统一那为什么不同电脑 npm i 还会变

@cstome npm ci

跟 npm 的版本有关，可以在两台电脑上运行 npm -v 看看版本是否一致。另外如楼上所说，另一台电脑可以用 npm ci 根据 package-lock.json 安装依赖。npm i 是根据 package.json 安装的

@milklee #4
@yuanfnadi #3

但是 package.json 中的依赖也已经有版本描述啦，这样是否有些多余？

你们平时用 ci 还是 i

@cstome npm ci 可以保证部署的时候代码是永远不变的。

不多余吧，npm ci 就不会改变 package-lock.json。拉别人的代码的时候会用 npm ci 初始化项目，加新依赖会用 npm i。如果其他人加过新依赖，也会用 npm ci 重新下载 node_modules

忘说了，踩过 npm 的无数坑之后，我已经换用 yarn 很久了...

如果你不知道为什么 npm i 会导致版本变化，那给你简单解释一下。

假设你依赖某个包 A，你的 package.json 里写的"A": "~1.0.1"，那么当 A 有 patch update 的时候你再次 npm install，你装下来的就是新版，也许是 1.0.2。
同理，^对应包的 minor update，*对应 major update。

如果不明白我在说什么的话去看一下 semver： https://docs.npmjs.com/misc/semver

你要想依赖的版本永远不变，不随着包管理者的更新而更新，就把版本号写死，那就不需要 lock 文件了。

你可以看一下这个，虽然说的是 yarn，但道理是一样的 https://github.com/yarnpkg/yarn/issues/1583

`yarn install --frozen-lockfile` 会根据 lock file 安装第三方包，这样呢 lock file 本身也不会被更新了