h4r7w3l1

В первую очередь объективно посмотреть на задачу.

Контекст рассмотрения конкретного случая безопасности мне не понятен, защитить приложение от прослушки трафика самим юзером? Или же защитить юзера от возможных проводимых MiTM атак? Или же сделать ставку на фичу, и "сэкономить" на защите своей инфраструктуры/бэкэнда..

Используя популярные библиотеки, можно облегчить жизнь разработчику, и пропорционально облегчить задачу злоумышленнику. Можно использовать кастомные методы заворачивания исходников, усложнив задачу реверсинга, но не исключив успешность её.
Собственно если категорически важно сохранить формат общения с сервером, можно использовать туннелирования. Телеграм в пример. Но сорцы все равно выдадут точки выхода. Ну и на решение задачи уйдет больше сил, времени и знаний, но в целом нет не решаемых задач. Вопрос только времени.. Не сегодня так завтра будет пропущена обнова, опубликована 0day, и полетит все к чертям.

Можно глубже капнуть, можно потратить много финансов и времени на разработку как минимум не стандартной системы (на опыте встречал, время убито было порядочно, но сложность добавляя только интерес). Абсолютно идеально защищенной архитектуры к сожалению не существует.

Собственно решение - на первой строчке.

Вопрос задан очень абстрактно.
Мое мнение - оценить защиту web application, серверов и инфраструктуры в целом как "хорошо" или "плохо" довольно безсмысленно.

В первую очередь нужно поставить цель, для чего Вам эта информация? Наперед осмелюсь сказать что каждый объект из Ваших целей содержит как минимум по 1 уязвимости. Идеальной системы впринципе не существует. Объясняеться кол-вом векторов атак, частотой обновления критических уязвимостей, и ключевой момент - человеческий фактор. Даже в идеальной с технической и архитектурной точки зрения системе присутствует человек. Как никак людям свойственно ошибаться. Реальные примеры, статичтики можно легко найти в отрытом доступе, вектор атаки "Социальная инжинерия".

Сканнеры что предложили с оценкой защищености системы не способны справиться. Нужно ясно понимать, любой сканнер это автоматизация, любая автоматизация ни что не более чем инструмент. В опытных руках инструмент облегчит работу, смысл использовать его без теоретического и практического понимания выполняймых процессов я не очень понимаю. Другим словами аналогия "обезъяна с гранатой".

Я лишь могу предположить, данные инструменты только дезориентируют своими false positive результатами, да и в целом отчеты тоже нужно уметь воспринимать по существу.

Оставляйте канал связи, возможно сделаю первичный аудит/разведку. Но это не точно)