Wie ich in diesem Beitrag erwähnt habe, sind auch zusätzlich eingezogene Abhängigkeiten ein Angriffsvektor.
Bei Plugins ist es recht einfach, zusätzliche Gems zu installieren. Dies ist für einen Administrator ziemlich unsichtbar.
Darüber hinaus scheint es bei diesem Ansatz kein SRI zu geben. Ich kenne mich mit dem Ruby-Ökosystem nicht so gut aus, ist das Gem-Repository unveränderlich?