最終的には、書籍「セキュアプログラミング」（ASIN:4873111757）みたいなところを考える話になるんだろうなぁ、とは思います。
SecuLogで（やっぱり）つっこまれましたが、機能を活用する、という話と「性能や各種要件を勘案した結果それらは使えない」という話のどちらもありうる話です。で、私自身のコメントとして

監査系の機能を有効にしたり、取れるログをひたすら取得したりすると、パフォーマンスが落ちる、というのはよく聞かれる話だったりします。

パフォーマンスが落ちるのはしょうがないとして、それをどうカバーするか、もしくはパフォーマンスが極力落ちないためにはどうするか（機能を使わないのはありがちですが、それを別の（DBMSの）ところで担保するのか？）というあたり、どうしたらいいのやら、という感じに思ってたり。

まんもすさんもここのコメントで述べられてますが、システム全体で追っかけないと（ミドルウェア単体で評価しても）しょうがないという話になります。

他に気になるのは、OSやWebサーバをはじめとする「外に晒される系」のソフトウェアに比べて（Exploitとかをはじめとする）脆弱性報告が少ない気がするってあたりです（汗）。

…やっぱりDBMS系は（トラウマになるくらい嫌な思いをしたというのもありますが）防御力弱い…