conventional-changelog-core v9.0.0 发布：核心变更日志生成器的重要更新

conventional-changelog-core 是 conventional-changelog 生态系统的核心组件，它负责从 Git 提交历史中提取符合约定式提交规范的信息，并生成结构化的变更日志。作为自动化版本管理和变更记录的关键工具，它被广泛应用于现代前端开发工作流中。

重大变更：Git 参数传递功能移除

本次 v9.0.0 版本最重要的变更是出于安全考虑移除了通过 Git 客户端传递额外参数的能力。这一变更属于破坏性更新（BREAKING CHANGE），意味着依赖此功能的项目需要进行相应调整。

在之前的版本中，开发者可以通过配置向 Git 命令传递额外参数，这虽然提供了灵活性，但也带来了潜在的安全风险。恶意参数可能被注入并执行非预期的 Git 操作。新版本通过移除这一功能，强制实施了更严格的安全策略，确保变更日志生成过程的安全性。

核心功能优化

包信息读取机制重构

项目内部用更可靠的实现替换了 read-package-up 依赖。这一底层改进提升了包信息读取的稳定性和性能，特别是在处理大型项目或复杂依赖关系时表现更为可靠。

依赖项全面升级

本次发布对多个关键依赖进行了重要版本升级：

1. 将 hosted-git-info 升级至 v8 版本，改进了对 Git 仓库托管服务（如 GitHub、GitLab 等）的信息识别和处理能力。

2. 将 normalize-package-data 升级至 v7 版本，增强了包数据规范化的准确性和一致性，确保生成的变更日志中项目元数据的可靠性。

这些依赖升级不仅带来了性能改进和安全修复，还确保了与最新 Node.js 生态系统的兼容性。

技术影响与迁移建议

对于现有项目，升级到 v9.0.0 版本需要注意以下几点：

1. 如果项目中使用了向 Git 传递额外参数的功能，需要寻找替代方案或重构相关逻辑。

2. 由于依赖项的升级，建议在升级前确保开发环境的 Node.js 版本兼容性（建议使用最新的 LTS 版本）。

3. 在 CI/CD 流水线中，建议先在测试环境中验证新版本的兼容性，再部署到生产环境。

4. 对于大型项目，升级后建议全面检查生成的变更日志，确保格式和内容符合预期。

总结

conventional-changelog-core v9.0.0 通过安全强化和依赖升级，为开发者提供了更可靠、更安全的变更日志生成体验。虽然包含破坏性变更，但这些改进对于项目的长期维护和安全性至关重要。建议所有使用该库的项目评估升级路径，以利用这些改进并保持与技术生态系统的同步。