Come ho menzionato in questo post, anche le dipendenze aggiuntive che vengono scaricate sono un vettore di attacco.
Nei plugin è piuttosto facile installare Gem aggiuntive. Questo è piuttosto invisibile per un amministratore.
Inoltre, non sembra esserci un SRI in questo approccio. Non conosco molto bene l’ecosistema Ruby, il repository Gem è immutabile?