package-lock.json фиксирует точные версии всех зависимостей включая вложенные, обеспечивая воспроизводимость установки. Да, его нужно коммитить в репозиторий — это гарантирует что у всех разработчиков и в CI одинаковые версии пакетов. npm ci устанавливает строго по lock-файлу, игнорируя ^/~ в package.json. Без него "работает у меня, не работает у тебя" из-за разных версий пакетов.

Что такое request ID (correlation ID) и как его реализовать?

Зачем нужен package-lock.json и нужно ли его коммитить?