Я думаю, это имеет большой смысл. У нас есть SRI для JavaScript, MS Authenticode для Windows. Было много атак на цепочки поставок, например, на NPM и RubyGems.
Единственное, что меня беспокоит, — это то, что может возникнуть барьер для получения «одобрения» для плагинов или компонентов тем, как это делает Microsoft Smartscreen, предотвращая запуск малоизвестного программного обеспечения от отдельных разработчиков.