Acho que isso faz muito sentido. Temos SRI para Javascript, MS Authenticode para Windows.
Houve muitos ataques à cadeia de suprimentos, por exemplo, no NPM e no RubyGems.
A única coisa que me preocupa é que haveria uma barreira para as pessoas terem seu plugin ou componente de tema “aceito”, como o Microsoft Smartscreen impede que os usuários executem softwares menos conhecidos de desenvolvedores individuais.