Como mencionei em esta postagem, as dependências adicionais que são puxadas também são um vetor de ataque.
Em plugins, é muito fácil instalar Gems adicionais. Isso é bastante invisível para um administrador.
Além disso, não parece haver SRI nesta abordagem. Não sou muito familiarizado com o ecossistema Ruby, o repositório Gem é imutável?