Не уверен, что всё так просто. Старые уязвимости не исчезают не только из-за лени или игнорирования, но и потому, что код часто переписывают поверх старого — и цепляют уязвимости «из наследства». К тому же, новые фреймворки сами иногда добавляют свои заморочки, а люди бегут делать фичи, не особо думая про безопасность в глубине. Тут вопрос скорее комплексный, чем просто про «культуру» или «инструменты».