conventional-changelog-core v9.0.0 版本发布：安全性增强与依赖更新

conventional-changelog 是一个用于从 Git 提交历史自动生成变更日志的工具集，遵循约定式提交规范。其中的 conventional-changelog-core 是核心模块，提供了基础功能。本次发布的 v9.0.0 版本是一个重大更新，主要关注安全性和依赖项的现代化。

重大变更：Git 客户端安全增强

本次版本最显著的变化是移除了通过 Git 客户端传递额外参数的功能。这一变更出于安全考虑，防止潜在的命令执行风险。

在之前的版本中，开发者可以向 Git 命令传递自定义参数，这虽然提供了灵活性，但也带来了安全隐患。非预期参数可能被用来执行非预期的 Git 操作或其他系统命令。v9.0.0 版本通过移除这一功能，强制使用更安全的默认行为，确保工具在生成变更日志时的安全性。

依赖项更新与现代化

本次版本对多个关键依赖项进行了升级：

1. 移除了 read-package-up 依赖，改为使用更现代的替代方案。这一变更简化了依赖树，减少了潜在的安全问题。

2. 将 hosted-git-info 升级到 v8 版本。这个库用于解析 Git 仓库的 URL 信息，新版本提供了更好的兼容性和安全性。

3. 将 normalize-package-data 升级到 v7 版本。这个库用于规范化 package.json 数据，新版本改进了数据验证和处理逻辑。

这些依赖项的更新不仅带来了性能和安全性的提升，也确保了项目能够与 Node.js 生态的最新发展保持同步。

技术影响与迁移建议

对于使用 conventional-changelog-core 的开发者，升级到 v9.0.0 版本需要注意以下几点：

1. 如果项目中依赖了传递额外 Git 参数的功能，需要寻找替代方案或修改工作流程。这是出于安全考虑的必要变更。

2. 建议检查项目的依赖兼容性，特别是如果同时使用了其他 conventional-changelog 相关工具，可能需要同步更新。

3. 新版本的依赖项更新可能影响某些边缘情况下的行为，建议在测试环境中充分验证后再部署到生产环境。

conventional-changelog-core v9.0.0 的这些变更加强了工具的安全性和稳定性，虽然带来了一些破坏性变更，但对于长期维护的项目来说是值得的升级。开发者可以通过这些改进获得更可靠、更安全的变更日志生成体验。