Если я сохраню рабочую копию в корне www моего сайта, будет ли это уязвимостью безопасности?
Не прямо.
Предполагая, что ваш код правильно написан и написан безопасно, и вы никогда не проверяли конфиденциальные детали (пароли и ключи!); тогда раскрытие папки .git и вашего исходного кода не создаст никакой уязвимости в системе безопасности, которой изначально не было. Однако доступ к исходному коду упрощает злоумышленнику поиск реальной уязвимости; и вы, вероятно, не хотите облегчать жизнь злоумышленнику.
Кроме того, злоумышленник может получить копию исходного кода, что может быть проблемой интеллектуальной собственности, но на самом деле это не проблема безопасности.
Просто убедитесь, что ваш каталог .git недоступен из HTTP-запроса, и вы должны быть золотыми.