Наши пентестеры вяло попинали его -- прогнали автоматическими анализаторами уязвимостей. С разбегу оно не сломалось, так что использовать можно относительно спокойно.
Другой вопрос, что это сложный комбайн, и если на нашем сайте и с нашим составом модулей оно более или менее (это не интернет-магазин, если что), то с другим набором модулей проблемы могут возникнуть очень даже запросто. В общем, безопасность -- это не некий результат, которого можно достичь и расслабиться, безопасность -- это процесс :-) Это справедливо не только в отношении битрикса.
Если прямо очень за безопасность переживаете -- организуйте рабочий процесс должным образом. Своевременные обновления, периодически аудиты сервисов и периметра и т. п.
P/S/:
https://www.1c-bitrix.ru/products/cms/security/aud...
Якобы, аудит приложения регулярно выполняет Positive Technologies.