Je pense que cela a beaucoup de sens. Nous avons SRI pour Javascript, MS Authenticode pour Windows.
Il y a eu beaucoup d’attaques sur la chaîne d’approvisionnement sur, par exemple, NPM et RubyGems.
La seule chose qui m’inquiète, c’est qu’il y aurait une barrière pour que les gens fassent “accepter” leur composant de plugin ou de thème, comme la façon dont Microsoft Smartscreen empêche les utilisateurs d’exécuter des logiciels moins connus de développeurs uniques.