Ik vind dit erg logisch. We hebben SRI voor Javascript, MS Authenticode voor Windows.
Er zijn veel supply chain attacks geweest op bijvoorbeeld NPM en RubyGems.
Het enige waar ik me zorgen over maak, is dat er een drempel zou zijn voor mensen om hun plugin of thema-component “geaccepteerd” te krijgen, zoals hoe Microsoft Smartscreen gebruikers ervan weerhoudt minder bekende software van individuele ontwikkelaars uit te voeren.