Não vou desmerecer seu projeto. Tenho certeza que deu um belo trabalho para ser feito e parece estar muito bom. Mas creio que esse é um problema que a web não é a solução ideal. Por mais que o código seja opensource, não a garantia alguma de segurança. Mesmo que o código seja aberto, consegue garantir que em nenhum momento haja uma vulnerabilidade de Cross site scripting? Ou de qualquer outra categoria? É uma baita responsabilidade. Não se engane, segurança é sempre uma questão grave, e para fins de proteção sempre deixe claro nos termos de uso que está se eximindo de qualquer modificação no banco de dados dos clientes por eles ou por terceiros.
Usar uma aplicação desktop ao invés de web não tornaria mais seguro, na verdade teria o efeito oposto pois haveria algumas questões de segurança a mais para se preocupar:
- O banco de dados vai ser liberado para ser acessado pelo IP de quem usa a aplicação desktop?
- Se sim, é um risco de segurança. Pois a máquina do usuário é confiável? A rede do usuário é confiável? A maneira mais fácil de invadir o sistema de uma empresa é atacando seus funcionários, que costumam ser negligentes com a própria segurança
- A comunicação com o banco de dados é encriptada? Existe o risco de um ataque MITM?
- Não é possível usar controles de segurança como SSO e MFA sem uma aplicação web intermediando a comunicação com o servidor
- Não é possível ter um controle de acesso e monitoramento (logs) mais preciso e avançado de quem, quando e onde acessou o banco de dados
- Em caso de comprometimento de um funcionário (ex.: máquina infectada por um malware), fica bem mais complicado revogar os acessos do mesmo sem um SSO
Dentre outros problemas que daria para pensar se dedicar mais tempo, acima é o que pensei em menos de 5 minutos.
Então por mais que esteja na moda falar mal de web (admito: eu fazia isso também há uns anos atrás), a verdade é que é uma ilusão isso de que desktop é mais seguro. Na verdade a situação é exatamente oposta: web tende a ser mais seguro.
Não é por "modinha" que muitas empresas preferem web, existem muitos motivos técnicos e comerciais para essa preferência.
Por mais que o código seja opensource, não a garantia alguma de segurança.
Projeto nenhum tem garantia nenhuma de segurança. Seja web, mobile, desktop, cli, embarcado etc.
Segurança é sobre diminuir riscos e impactos, e dificultar a vida do atacante. Não é sobre "garantir" nada. Na verdade quem "garante" segurança, geralmente, são as pessoas menos capacitadas no assunto. É o tal do efeito Dunning-Kruger.