関連記事：Bitwarden についてのセキュリティ監査結果
その抜粋（意訳）
Bitwarden のセキュリティ（ホワイトボックス侵入テスト、ソースコード監査、アプリケーションと関連コードライブラリの Bitwarden エコシステムの暗号分析）を監査するために、ドイツのセキュリティ調査会社 Cure 53 を採用しました。

その監査レポート：BitwardenSecurity AssessmentReport（November 8th, 2018）
https://cdn.bitwarden.net/misc/Bitwarden%20Security%20Assessment%20Report%20-%20v2.pdf
によって、Bitwarden に幾つかの脆弱性と課題（issue）が明らかになり、差し迫った問題に直ちに対処するためにソフトウェアを変更しました。
許可されたプロトコルを制限することにより、ログイン URI の機能を変更しました。
更に、https、ssh、http、ftp、sftp、irc、chrome スキームをその時点でのみ許可し、file などの他のスキームを許可しないホワイトリストを実装しました。

Cure 53 は、
Bitwarden（ログイン）アカウントで使用するマスターパスワードの作成要件が「パスワード長（文字数）が8文字」以上であれば良いという緩い「生成ルール」を批判しました。 そのため、パスワード強度チェックと通知の機能を導入しました。

課題（issue）は、
●侵害されたシステムにより引き起こされます。ユーザーがマスターパスワードを変更しても暗号化キーが変更されないため、侵害された API サーバーから暗号化キーが窃盗される可能性があります。個々のユーザーまたは会社が所有するインフラストラクチャ上で個別に設定を改変できます。
●埋め込み iframe を使用するサイトでは、「自動入力機能は最上位アドレスのみをチェックし、埋め込み iframe が使用する URL はチェックしません。そのため、悪意のある攻撃者は正当なサイトに埋め込まれた iframe を使用して、オートフィルデータを窃盗する可能性があります。