Как я упоминал в этом посте, дополнительные зависимости, которые подтягиваются, также являются вектором атаки.
В плагинах установка дополнительных библиотек Gems довольно проста. Для администратора это происходит практически незаметно.
Кроме того, в этом подходе, похоже, отсутствует SRI. Я не очень хорошо знаком с экосистемой Ruby: является ли репозиторий Gems неизменяемым?