Как они могут предоставить подрядчику доступ только к соответствующему клиентскому коду?
Нет.Проблемы конфиденциальности с полным монорепо просто слишком важны, чтобы их можно было смягчить.
А у самого Git нет авторизации (или аутентификации в этом отношении) .
Значение: нет ни одной нативной функции Git (субмодуля или поддерева) было бы достаточно самостоятельно.
Обычно я вижу промежуточный репозиторий, состоящий из соответствующих частей для работы подрядчика, с процессом синхронизации для импорта / экспорта в работу.
И если этот подрядчик работает удаленно, то этот экстракт будет размещен на отдельном сервере, который управляется в DMZ и реплицируется на внешний сервер в Интернете, доступ к которому осуществляется через VPN?