Usar uma aplicação desktop ao invés de web não tornaria mais seguro, na verdade teria o efeito oposto pois haveria algumas questões de segurança a mais para se preocupar:
- O banco de dados vai ser liberado para ser acessado pelo IP de quem usa a aplicação desktop?
- Se sim, é um risco de segurança. Pois a máquina do usuário é confiável? A rede do usuário é confiável? A maneira mais fácil de invadir o sistema de uma empresa é atacando seus funcionários, que costumam ser negligentes com a própria segurança
- A comunicação com o banco de dados é encriptada? Existe o risco de um ataque MITM?
- Não é possível usar controles de segurança como SSO e MFA sem uma aplicação web intermediando a comunicação com o servidor
- Não é possível ter um controle de acesso e monitoramento (logs) mais preciso e avançado de quem, quando e onde acessou o banco de dados
- Em caso de comprometimento de um funcionário (ex.: máquina infectada por um malware), fica bem mais complicado revogar os acessos do mesmo sem um SSO
Dentre outros problemas que daria para pensar se dedicar mais tempo, acima é o que pensei em menos de 5 minutos.
Então por mais que esteja na moda falar mal de web (admito: eu fazia isso também há uns anos atrás), a verdade é que é uma ilusão isso de que desktop é mais seguro. Na verdade a situação é exatamente oposta: web tende a ser mais seguro.
Não é por "modinha" que muitas empresas preferem web, existem muitos motivos técnicos e comerciais para essa preferência.
Por mais que o código seja opensource, não a garantia alguma de segurança.
Projeto nenhum tem garantia nenhuma de segurança. Seja web, mobile, desktop, cli, embarcado etc.
Segurança é sobre diminuir riscos e impactos, e dificultar a vida do atacante. Não é sobre "garantir" nada. Na verdade quem "garante" segurança, geralmente, são as pessoas menos capacitadas no assunto. É o tal do efeito Dunning-Kruger.