Diciamo che hai un lettore musicale open source, che arriva qualcuno, lo copia, aggiunge funzionalità, modifica l'interfaccia, ecc. e lo vende. Nessuno lo scoprirà. Quindi come funziona?
Praticamente come hai descritto, tranne che qualcuno deve scoprirlo. Se non lo fa, allora no, non lo sai. Oggigiorno è più o meno il modo in cui viene utilizzato in molti software. Codice e idee vengono rubati, ... affrontarli, lo fanno sempre, lo faranno sempre.
Se in qualche modo scopri qualcuno che ti ha "derubato", supponendo che le leggi del tuo paese siano applicabili e tu abbia i mezzi per perseguire, puoi portarle in tribunale. Che a seconda del sistema giuridico in cui ti trovi, può significare che hai una possibilità pratica di vincere quella o solo una teorica nella migliore delle ipotesi.
Related: Sto lavorando io stesso in alcuni progetti per rendermi più occupabile, così i datori di lavoro possono dare un'occhiata al mio codice ma con alcuni di loro non ho voglia di caricarli su un repository online, cioè sourceforge e renderli visibili al grande pubblico.
Bene, o rendilo un repo privato / pubblico. vale a dire con un login / pass designato per i visitatori, un repo che rispecchia il tuo repository principale dove tieni la maggior parte delle tue cose (non vuoi dare il tuo accesso principale a qualcuno) o semplicemente posta a loro o qualcosa del genere. O metterlo su una pagina web non facilmente reperibile nei vasi del web. Anche il link Dropbox funziona.
Inoltre, non fornire tutto il codice (il pacchetto completo), rimuovere i pochi bit rilevanti, ma fornire il binario. Possono vedere il codice e l'app, ma non possono costruire l'app in modo autonomo.