Файл package-lock.json является попыткой убедиться, что пакеты, используемые разработчиками, соответствуют пакетам, используемым в другой важной среде: production .
Это также гарантирует, что любые изменения в версиях, используемых в рабочей среде, являются преднамеренными, имеют возможность быть проверенными и могут быть легко отменены путем создания и развертывания более старой версии исходного кода приложения.
Обратите внимание, что включение версии 1.2 в dependencies в package.json говорит npm, что он может выбрать самую последнюю версию, которая начинается с 1.2.
Даже несмотря на то, что различие в версии предполагает неразрывное изменение, на самом деле ничто не мешает разработчикам express разбить пакет между гипотетическими версиями 1.2.0 и 1.2.1, поэтому важно убедиться, что переход между эти версии являются преднамеренными и легко обратимыми.