add mixed binary hardening rule

polazarus · polazarus · commit 3d4d580cba05 · 2025-07-31T16:14:57.000+02:00
diff --git a/src/en/02_devenv.md b/src/en/02_devenv.md
@@ -255,3 +255,24 @@ There exist other useful tools or `cargo` subcommands for enforcing program
 security whether by searching for specific code patterns or by providing
 convenient commands for testing or fuzzing. They are discussed in the following
 chapters, according to their goals.
+
+## Hardening and Mixed Binaries
+
+_Hardening_ refers to mechanisms applied during compilation to reduce the impact
+or exploitability of certain memory safety defects. In the case of Rust, these
+hardening techniques are generally less relevant (except for `unsafe` code).
+However, the question arises again in the context of mixed software, that is,
+software containing components written in Rust and components written in one or
+more languages that do not guarantee memory safety. Indeed, it has been shown
+that Rust code can be used to bypass hardening applied to vulnerable C code.
+
+> **Rule {{#check DENV-MIXED | Enable hardening for all languages in a mixed-language application}}**
+>
+> When developing a secure application that includes components in multiple
+> languages, the compilation of all components (including Rust ones) must apply
+> hardening techniques to limit the exploitability of vulnerabilities present in
+> components written in languages that do not guarantee memory safety.
+
+### References
+
+- _Exploiting Mixed Binaries_, Michalis Papaevripides, Elias Athanasopoulos, <https://dl.acm.org/doi/10.1145/3418898>
diff --git a/src/fr/02_devenv.md b/src/fr/02_devenv.md
@@ -285,3 +285,26 @@ D'autres outils ou sous-commandes `cargo` utiles pour renforcer la sécurité
 d'un programme existent, par exemple, en recherchant des motifs de code
 particuliers. Nous en discutons dans les chapitres suivants en fonction de leurs
 portées et de leurs objectifs.
+
+## Durcissement et binaires mixtes
+
+Les _durcissements_ sont des mécanismes mis en place pendant la compilation
+permettant de réduire l'impact ou l'exploitabilité d'un certain nombre de défaut
+de sûrété mémoire. Dans le cas de Rust, ces durcissements n'ont pas beaucoup
+d'intérêt (hors code _unsafe_). Toutefois, la question se pose de nouveau dans
+le cas de logiciel mixte, c'est-à-dire contenant des composants écrits en Rust
+et des composants écrits dans un ou les langages n'assurant pas la sûreté
+mémoire. En effet, il a été montré que du code Rust peut être utilisé pour
+contourner des durcissements d'un code C vulnérable.
+
+> ** Règles {{#check DENV-MIXED | Activer les durcissements pour tous les langages d'un logiciel mixte}}**
+>
+> Dans le cadre du développement d'une application sécurisée comportant des
+> composants dans plusieurs langages, les compilations des composants (y compris
+> Rust) doivent appliquer des durcissements de manière à limiter
+> l'exploitabilité des vulnérabilités présents dans les composants dont le
+> langage n'assure pas la sûreté mémoire.
+
+### Références
+
+- _Exploiting Mixed Binaries_, Michalis Papaevripides, Elias Athanasopoulos, <https://dl.acm.org/doi/10.1145/3418898>
