Алексей Уколов +1
Проведем аналогию с идеализированным алгоритмом работы ФСТЭК для лицензии ПО с гос. тайной
1. Берется определенная версия ПО
2. Проводится полный аудит кода
3. Данная версия ПО получает лицензию
Но подумайте о том, что бы работать на ПЭВМ в гос тайной надо проверить весь стек ПО
Поэтому просто забейте на эту параною.
Подумайте:
1. веб-сервер, php, git делают одни люди
2. Вторые люди собирают это под ту ос, что вы используете
3. Администраторы железа на вашем хостинге - это третьи люди
4. Администраторы магистральной сети - это четвертые
Враги кругом.
Вы можете делать аудит всего стороннего кода, но у вас больше шансов написать огромную дыру в вашем приложении, где любой пользователь сделает rm -fr.
А для того чтобы окружить себя от нерадивых чужих разработчиков тестируйте свой код, тестируйте приложение в изолированном окружении ( в контейнере), а только потом выкидывайте все на production сервер
