yarn.lock также как и package.lock фиксирует конкретные версии пакетов. Это обезопасит вас от мажорных изменений внутри пакетов. Но как по мне, гораздо логичнее выкинуть это .lock но в самом списке пакетов указывать возможность устанавливать пакеты с точностью до минорной версии. Тогда все полезные фиксы будут попадать внутрь node_modules, а критичные изменения, которые делаются в мажорных версиях - нет.
