我认为这非常有意义。我们有适用于 Javascript 的 SRI,适用于 Windows 的 MS Authenticode。 已经发生了很多供应链攻击,例如针对 NPM 和 RubyGems。
我唯一担心的是,人们将难以获得他们的插件或主题组件“被接受”,就像 Microsoft Smartscreen 阻止用户运行来自单一开发者的不太知名的软件一样。