Creo que esto tiene mucho sentido. Tenemos SRI para Javascript, MS Authenticode para Windows.
Ha habido muchos ataques a la cadena de suministro en, por ejemplo, NPM y RubyGems.
Lo único que me preocupa es que haya una barrera para que la gente acepte sus plugins o componentes de temas, como cuando Microsoft Smartscreen impide a los usuarios ejecutar software menos conocido de desarrolladores individuales.