Насколько я понимаю, package.json используется для установки желаемого диапазона версий, например, ^1.0.0 - означает 1.*.*, или вы можете использовать ~1.0.0 - означает 1.0.*.
package-lock.json затем используется для конкретной блокировки используемой версии, что полезно, потому что без нее вы не будете знать, какая версия используется на двух машинах, поскольку они могут быть не синхронизированы.
Однако, когда я открываю package-lock.json, для проекта приличного размера более 14 тыс. Строк, поэтому трудно понять, какая именно версия используется для пакета.
Существует ли команда NPM, которая даст вам точную версию, которую локальный проект использует для определенного пакета, или отобразит список пакетов (с учетом как package.json, так и package-lock.json)?