>>640
いいたいことはそっちか。

まず、考え方のスタート地点からして間違っている。
計るべきは「安全」ではなく、「リスク」だ。
安全は定量的に計ることが出来ないが、リスクはテストで計測できる。
「有名どころはライブラリと同レベルの安全」なんてものは主観的なイメージでしかない。
具体的なリスクを想定するならテストは容易。
例えば、ipaはSQLインジェクション検出ツールというものを公開している。
https://www.ipa.go.jp/security/vuln/iLogScanner.html
XSSやDOSだってテストは可能だろう。攻撃手法は確立されているのだから、実際に攻撃してみれぼすむことだ。