كما ذكرت في هذا المنشور، فإن التبعيات الإضافية التي يتم سحبها هي أيضًا ناقل هجوم.
في الإضافات، من السهل جدًا تثبيت Gems إضافية. هذا غير مرئي تمامًا للمسؤول.
علاوة على ذلك، لا يبدو أن هناك SRI في هذا النهج. أنا لست على دراية كبيرة بالنظام البيئي لـ Ruby، هل مستودع Gem غير قابل للتغيير؟