No, no puede decir que su aplicación es 99% segura, 100% o 25% segura. Solo puede confirmar que su aplicación haya superado una prueba de penetración y la prueba de penetración informó 0 no conformidades. Eso suena bien, pero no se puede inflar un porcentaje de seguridad desde aquí con esta información.
La tecnología para certificar que un fragmento de código no tiene ninguna vulnerabilidad de seguridad no se ha desarrollado completamente. Las investigaciones solo se han realizado para certificar que no existe algún tipo de vulnerabilidad en el código con algunas Características como el código C que no asigna memoria dinámicamente, pero en general, es muy difícil certificar que un fragmento de código no tiene ninguna vulnerabilidad de seguridad.
Si necesita dicho porcentaje, puede realizar una prueba de penetración compatible con OSSTMM en la que se calcula la superficie de ataque y luego los RAV . Esa es una forma de calcular algo similar al porcentaje que mencionas y seguir una metodología repetible.
Para dar un valor adecuado a esta prueba de penetración en particular, es importante saber qué se ha probado exactamente (el alcance) y cómo (metodología, herramientas, etc.). Si su proveedor le ha entregado la lista de herramientas y productos, esa información puede ser analizada por otro experto en caso de que necesite repetibilidad (interesante para cualquier auditoría).
Si la prueba de penetración se basa en herramientas automáticas, como comentaron otros expertos, mi opinión es que puede estar seguro de que puede confiar en esta prueba de penetración. Las herramientas automáticas tienen limitaciones importantes y, cuando no detectan ninguna vulnerabilidad, es necesario conocer el análisis posterior para estar seguros de por qué.
Si tiene la documentación adecuada de lo que se probó y los resultados, si en el futuro tiene un incidente de seguridad, puede revisar la documentación para descubrir por qué no se detectó la vulnerabilidad y mejorar su metodología de prueba.