Mayeenul Islam - isso não é um ponto fraco que você faz em relação ao Open Source. Se considerarmos que a Microsoft - um dos maiores desenvolvedores e produtores de software e sistemas do mundo é também um dos sistemas mais invadidos do mundo - ter 'código fechado' não é mais seguro do que ter uma base de código vigiada por centenas, se não for milhares de desenvolvedores e usuários.
Para minha lembrança, as maiores falhas na segurança tendem a não estar relacionadas ao software, mas à implementação. Wordpress fora da caixa é tão seguro quanto possível - mas as pessoas ainda escolhem estupidamente fácil de adivinhar senha - ou nenhuma, ou executar serviços sem HTTPS etc. Tudo o que você pode fazer em um sistema caseiro e ser apenas como inseguro.
Ter o sistema mais seguro possível começa muito à frente da escolha de software e plataforma, começa com a implementação, política, certificando-se de que você sabe o que você está depois. Em seguida, escolha uma plataforma que tenha constantemente plugado seus vazamentos e buracos e, acima de tudo, esteja aberta para informar seu cliente e a comunidade de desenvolvimento sobre esses problemas. Se soubermos que há um problema - podemos planejar e corrigir adequadamente, se o contrário for verdadeiro - acabaremos tendo que limpar e reconstruir.
Eu me lembro de falhas no Windows que foram descobertas por volta do 3.1 e eram conhecidas e deixadas porque eram consideradas "obscuras".
As soluções Open Source não são perfeitas, mas pela sua própria definição, é muito mais fácil encontrar, localizar, relatar e corrigir falhas.
A pergunta original - como você prova que um sistema é seguro - você não pode - nenhum sistema nunca esteve nem nunca estará seguro. No momento em que tal afirmação é feita, todo hacker do mundo tem um caso a provar para derrubá-lo. É muito mais sensato e honesto entender que fazemos as coisas o mais seguro possível e desenvolvemos operações e meios de trabalhar com sistemas que promovem um senso de uso seguro.