Зачем нужен package-lock.json и нужно ли его коммитить?

package-lock.json фиксирует точные версии всех зависимостей включая вложенные, обеспечивая воспроизводимость установки. Да, его нужно коммитить в репозиторий — это гарантирует что у всех разработчиков и в CI одинаковые версии пакетов. npm ci устанавливает строго по lock-файлу, игнорируя ^/~ в package.json. Без него "работает у меня, не работает у тебя" из-за разных версий пакетов.