正如我在这篇帖子中提到的,另外拉入的依赖项也是一个攻击向量。
在插件中安装额外的 Gems 非常容易。这对管理员来说几乎是看不见的。
此外,这种方法似乎没有 SRI。我对 Ruby 生态系统不太熟悉,Gem 仓库是不可变的吗?