Если бы я контроль рабочая копия в www корень моего сайта, который был бы уязвимостью системы обеспечения безопасности?
Не напрямую.
Предполагается, что ваш код правильно написан и написан надежно, и вы никогда не проверяли конфиденциальные детали (пароли и ключи!); тогда раскрытие папки .git и вашего исходного кода не создаст никакой уязвимости в системе безопасности, которой изначально не было. Однако доступ к исходному коду упрощает злоумышленнику поиск реальной уязвимости; и вы, вероятно, не хотите облегчать жизнь злоумышленнику.
Кроме того, злоумышленник может получить копию исходного кода, что может быть проблемой интеллектуальной собственности, но на самом деле это не проблема безопасности.
Просто убедитесь, что ваш каталог .git недоступен для HTTP-запроса, и вы должны быть золотыми.