Myslím, že bohatě stačí mít kontakt kdekoliv na webu, například v patičce, kam to dává snad každý normální webmaster.
Pokud už někdo má čas na to popsat bezpečností díru, kterou u vás našel, asi nebude mít problém na vás najít kontakt i bez existence security.txt. Jakýkoliv jiný uživatel (99% návštěvníků drtivé většiny webů) žádnou chybu řešit nebude a když už by ji potkal, spíš ze stránky odejde, než aby ještě někomu psal o nějakých chybách.
Sám to píšu jako webmaster několika webů. Jestli se tohle někdy uchytí, tak jedině, že to bude vyžadovat nějaký standard (například v prohlížečích), jinak bude zavádění zdlouhavé jako u IPv6 a podobných věcí, kterým bfu prostě nerozumí.