第一次，首先执行 yarn install ，会按照语义版本控制规则（在下面会解释）下载最新的依赖包并且构建为依赖关系树，也就是把共有的部分提取出来。然后生成 yarn.lock 文件。并且生成本地缓存。
以后执行 yarn install 会先对比 package.json 版本号和 yarn.lock 版本号是否一致。分两种情况：
（1）如果不一致会根据package中的版本号以及语义版本控制规则去下载最新的包，并更新至 yarn.lock 。
（2）如果一致，会根据lock查看缓存进行复制，没有缓存就按照路径下载，注意：这里 不会理会package实际包的版本是否有更新 。这个比如删除 node_moudles 后再执行 yarn install 会复制缓存，而不是重新下载，同时也会根据 yarn.lock 文件中依赖的相互关系生成依赖树，版本也和package中的相同。

npm5中是 如果改了 package.json ，且 package.json 和 package-lock.json 文件中包版本号不一致，那么执行 npm i 时npm会根据package中的版本号以及语义含义去下载最新的包，并更新至lock。如果两者是同一状态，那么执行 npm i 都会根据lock下载，不会理会package实际包的版本是否有新。和yarn是一样的。

从npm版本看
package-lock.json 是npm5的新特性，也不向前兼容，如果npm版本是4或以下，那得用 npm-shrinkwrap.json

从npm处理机制来看

• 在一个项目里，如果本身不存在这两个文件，那么在运行 npm install 时，会自动生成一个 package-lock.json ，或者在初始化一个项目 npm init 时，也会生成 package-lock.json ，安装信息会依据该文件进行，而不是单纯按照 package.json ，这两个文件的优先级都比 package.json 高
• 如果项目两个文件都存在，那么安装的依赖是依据 npm-shrinkwrap.json 来的，而忽略 package-lock.json
• 运行命令 npm shrinkwrap 后，如果项目里不存在package-lock.json，那么会新建一个 npm-shrinkwrap.json 文件，如果存在 package-lock.json ，那么会把 package-lock.json 重命名为 npm-shrinkwrap.json

从文件更新来看
npm-shrinkwrap.json 只会在运行 npm shrinkwrap 才会创建/更新
package-lock.json 会在修改 pacakge.json 或者 node_modules 时就会自动产生或更新了。

从发布包来看
package-lock.json 不会在发布包中出现，就算出现了，也会遭到npm的无视。
npm-shrinkwrap.json 可以在发布包中出现

yarn.lock 是为了维护树关系，保证依赖间的相互关系，和包的下载路径。如果改了 package.json 版本号，且 package.json 和lock文件版本号不同，那么执行 yarn install 时，会根据package中的版本号以及语义含义去下载最新的包，并更新至lock。这也是 yarn.lock 提交到代码托管平台的原因。因为安装依赖时会按照lock中下载路径走，并且不需要重新生成依赖关系树了，其他机器 yarn install 时包间依赖关系和版本就不会出现的错误。npm中 npm install 有可能会因为包间的版本不同导致版本和依赖错误（除非有package.lock.json文件）。

总的来说 yarn.lock 和 package-lock.json 起的作用相同。只不过yarn是默认的，npm到5以后才会出现lock。两者确定包间的依赖关系算法也不同，总之yarn就是为了弥补npm的缺陷而出现的。