锁文件

把每个依赖装到的“精确小版本号”钉死下来的文件。同一个项目在你电脑、同事电脑、线上服务器上装的就是一模一样的版本。

做什么会用到

01看到 package-lock.json / yarn.lock / pnpm-lock.yaml / poetry.lock：这就是锁文件，必须提交到 Git，不要 ignore
02“在我电脑上跑得好好的”：90% 是没用锁文件，每个人装的小版本不一样
03线上部署：用 npm ci（不是 npm install）按锁文件精确还原，最安全
04锁文件冲突很头疼：手动解很容易解错，最干净的办法是删掉重新生成（npm i / pnpm i）

想用它怎么问 AI

「我的项目【package-lock.json + yarn.lock 都有】 / 【没有锁文件】。请告诉我现在状态有什么风险，应该统一用哪个工具，怎么干净地重建锁文件。」

打个比方

像药方上把每味药精确到几克记下来，复刻时没有任何模糊空间。