Ich finde das sehr sinnvoll. Wir haben SRI für Javascript, MS Authenticode für Windows.
Es gab viele Supply-Chain-Angriffe auf zum Beispiel NPM und RubyGems.
Das Einzige, was mir Sorgen bereitet, ist, dass es eine Hürde für Leute geben könnte, ihre Plugin- oder Theme-Komponente „akzeptiert“ zu bekommen, so wie Microsoft Smartscreen Benutzer daran hindert, weniger bekannte Software von einzelnen Entwicklern auszuführen.