Salut,
quelques pistes :
- obfusquer au max les parties sensibles du code open source. Voir ne pas donner telle ou telle lib
- fonctionner par sessions authentifiées ; ça protège rien mais tu peux...