npm私有库 npm install如何在package中区分私有库和公有库地址

问题如标题

问题描述：

1. 搭建了公司私有npm库后
2. 使用npm install xxx --save --registry http://xxxxxxx 安装自己公司的私有包
3. 这时package.json中就会出现包名和版本号（都知道的-。-）

"dependencies": {
    "utils": "^1.0.0"
  }

1. 然后重要的是在package-lock.json中就会出现这个包的路径版本信息：

"dependencies": {
    "utils": {
      "version": "1.0.0",
      "resolved": "http://xxxxxxxxxxxxxxxxx/utils/-/utils-1.0.0.tgz",
      "integrity": "sha512-xxxxxxxxxxxxxxxxx"
    }
  }

这样，之后使用npm install后就会自动从lock中的私有库地址下载对应的utils包
但是有个疑问，如果出于其他问题lock没有上传或丢失，导致只有package.json文件，这样私有库和公有库地址就完全不会体现，npm install下载就会出问题，只是想问下这种情况有避免的方式么-。-