Дыры есть везде, просто публичные популярные проекты смотрят много глаз и видят ошибки, сообщают о них.
Мне видится так: нанимаете фрилансера, даёте ему код или его часть он просматривает самые его критичные части типа проверки входных данных и работы с БД и выносит решение о качестве кода который он видел. Вы опираясь на это решение уже думаете брать или не брать.
