Comme je l’ai mentionné dans ce post, les dépendances supplémentaires qui sont extraites constituent également un vecteur d’attaque.
Dans les plugins, il est assez facile d’installer des Gems supplémentaires. C’est assez invisible pour un administrateur.
De plus, il ne semble pas y avoir de SRI dans cette approche. Je ne connais pas très bien l’écosystème Ruby, le dépôt Gem est-il immuable ?