npm 包环境版本保持一致

如今项目中，多数都是用npm包管理工具，但最近遇到一个问题。各个包经常会升级，如果环境变了，都得重新npm install一遍，但down下来的包版本肯定不一致了，会造成很多兼容性问题。

刚开始在package.json中通过制定包版本，这样每次依赖的包版本肯定是一致的，但前不久项目兼容性又出问题了，查找半天才发现是项目包自己的依赖包更新了，导致了这个问题。

package.json也只能锁定本身依赖的包，但包自身所依赖的包没法锁定，请问各位大神有什么好的方法。

如今想到的就是docker，但感觉成本太大，不是很想用

还看到了yarn，有个yarn.lock，请问下yarn能够解决上述的问题吗