Penso che abbia molto senso. Abbiamo SRI per Javascript, MS Authenticode per Windows.
Ci sono stati molti attacchi alla catena di approvvigionamento, ad esempio su NPM e RubyGems.
L’unica cosa che mi preoccupa è che ci sarebbe una barriera per le persone per far “accettare” il loro plugin o componente tematico, come Microsoft Smartscreen impedisce agli utenti di eseguire software meno conosciuto da singoli sviluppatori.