Také jsem to nenašel.
V praxi jsem došel k tomu, že je potřeba segregovat služby, které je potřeba chránit od těch, kde mohou být pravidla volnější. Např. u formulářů je vhodné kontrolovat obsah dotazu i odpovědi. Na druhou stranu nemá smysl provádět sofistikované kontroly tam, kde odesíláte downloadované soubory, obrázky atp. (Na uploadovaných zase většinou ano). To v praxi naráží na jednoduchý vývoj aplikací, kdy v jednom document rootu je vše, upload, download, obsah, texty atd. - ale u těchto aplikací se zase nepočítá s vysokou zátěží a hledisko výkonu není tak důležité.
Celkově modsecurity funguje dobře, žádný drastický úbytek výkonu se nekoná.