serge-90

Если проект - монолит, то 100% клонируют при желании (опуская ответственность за это).

Защита исходных кодов проекта php - отсутствие к ним доступа.
Можно разделить монолит на фронт/бэк/сервис(ы) - всё отдельные проекты. Наёмный фрилансер получает доступ только к отдельной части. Всё самое важное (ноухау, бизнес-идею) - держать в сервисах, доступ к коду которых только у особо доверенных товарищей. CI/CD и интеграционные тесты обязательны.

В целом, сложность проекта возрастает в разы... но если есть, что защищать, наверное, оно того стоит?

Меры безопасности такие же как и в любом коммерческом банке.
1. Разделение информационной системы предприятия на контуры по готовности релиза: продакш (к управлению допускаются только ключевые технические специалисты компании), предпродакш (к управлению допускается только помощники ключевых технических специалистов, в контуре могут испытываться как тестовые данные, так и часть боевых данных), дев-контур для разработчиков (допускаются разработчики только по узкому направлению, в контуре циркулируют только тестовые данные).
2. Разделение информационной системы предприятия по функционалу и делегирование прав доступа от рядового разработчика к ключевому специалисту в рамках одной подсистемы. Разработчики и их руководители должны иметь только те права доступа, которые необходимы для текущей работы.