DevOps Engineer

Siamo alla ricerca di un DevSecOps Engineer che collaborerà attivamente con sviluppatori, sistemisti e project manager, contribuendo alla system integration e alla gestione di infrastrutture complesse, con particolare attenzione a performance, automazione, affidabilità, e cyber security (CRA).

Obiettivi principali
• Integrare i controlli di sicurezza nei flussi di lavoro di sviluppo sia del software che dell'embedded/firmware.
• Garantire che tutti i componenti digitali (codebase, firmware, librerie) siano conformi ai requisiti del CRA durante tutto il loro ciclo di vita.
• Rafforzare la cyber-resilienza tramite pratiche secure-by-design e secure-by-default.
• Garantire la tracciabilità, l'integrità e la sicurezza dell'intera supply chain del software e del firmware.

Responsabilità (Software + Firmware)

Sviluppo Sicuro di Software e Firmware (SSDLC + ES-SDLC) in conformità al CRA.
• Integrare SAST (Static Application Security Testing), SCA (Software Composition Analysis), analisi delle dipendenze e analisi binaria nei pipeline CI/CD.
• Promuovere il coding sicuro per software e sistemi embedded
• Setup tool per threat modeling su moduli software e componenti embedded/firmware.
• Supportare l'implementazione di crittografia, firma e processi di boot sicuro per il firmware.

• Supportare la progettazione e la validazione di bootloader sicuri.
• Implementare misure protettive per memoria, interfacce e protocolli di comunicazione.
• Garantire la consegna sicura degli aggiornamenti per il firmware (meccanismi OTA o locali).
• Supportare l'analisi statica e dinamica del codice embedded (MISRA, CERT-C).
• Validare l'autenticità e l'integrità del firmware.

Gestione delle Vulnerabilità (Software + Firmware)
• Gestire le vulnerabilità basandosi su exploitabilità, CVSS e obblighi del CRA.
• Coordinare le attività di remediation con i team di sviluppo e embedded.
• Supportare la risposta agli incidenti in caso di vulnerabilità software o firmware sfruttate.
• Gestire i processi di disclosure responsabile come richiesto dal CRA.

Sicurezza della Supply Chain del Software e Firmware
• Generare e mantenere SBOM (Software Bill of Materials) per software e firmware (es. CycloneDX, SPDX).
• Validare librerie di terze parti, toolchain e dipendenze Software/Firmware.
• Implementare:
o Firma degli artefatti
o Hashing e controlli di integrità
o Archiviazione sicura dei risultati di compilazione
o Firma del Software/Firmware e packaging sicura degli aggiornamenti    Autunn0_
• Valutare i rischi derivanti da compilatori, sistemi di build, driver e dipendenze a basso livello.

Sicurezza CI/CD per le Build di Software e Firmware
• Proteggere i sistemi di build, i repository di codice e i flussi di lavoro CI/CD (on-prem).
• Integrare gate di sicurezza automatizzati e controlli di qualità per le build di software e firmware.
• Garantire la tracciabilità delle modifiche, dei commit e degli artefatti di rilascio.
• Supportare build riproducibili per il firmware.

Competenze Tecniche
Software Security
• Strumenti SAST: es. SonarQube, Fortify, Checkmarx, CodeQL
• Strumenti SCA: es. Snyk, Trivy, Dependency-Track, Black Duck
• Revisione del codice per la programmazione sicura (OWASP, CERT)

Embedded/Firmware Security
• Esperienza con sistemi embedded C/C++
• Conoscenza di microcontrollori e ambienti real-time
• Strumenti di scansione del firmware/analisi binaria
• Boot sicuro, firma del firmware e meccanismi di aggiornamento
• Familiarità con protocolli di comunicazione embedded (SPI, I2C, UART, Modbus, CAN, ecc.)

DevSecOps (solo On-Prem)
• Sistemi CI/CD (GitLab CI, Jenkins, Azure DevOps Server)
• Git e strategie di versioning
• Automazione build (CMake, Make, toolchain personalizzati)
• Scripting (Python, Bash)

CRA & Conformità
• Solida comprensione dei requisiti del CRA per software + firmware
• Esperienza nella produzione di SBOM (CycloneDX/SPDX)
• Esperienza nella redazione di Documentazione Tecnica per scopi normativi
• Conoscenza di standard come le linee guida ENISA, NIS2, ISO 21434 (opzionale)
• Valutare continuamente i processi per miglioramenti in termini di efficienza, qualità e sicurezza.

Requisiti chiave:

• Laurea preferibilmente in ingegneria (informatica, elettronica, biomedica, TLC, automazione) o assimilabili.
• 3–5+ anni di esperienza nello sviluppo software, nello sviluppo embedded, nel DevSecOps o nella sicurezza del software.
• Inglese fluente

Si offre contratto a tempo indeterminato con pacchetto commisurato all’esperienza.

Particle Measuring Systems è un’azienda specializzata in contatori di particelle vitali e non vitali che misurano e monitorano i livelli di contaminazione in ambienti puliti e controllati. Dal 1972, il nostro team sviluppa tecnologie innovative per il progresso del settore del monitoraggio delle camere bianche. Grazie a tecnologie esclusive, che forniscono ai clienti informazioni e risultati precisi e affidabili, Particle Measuring Systems è un’azienda leader a livello internazionale nella produzione di strumenti di conteggio delle particelle e nel monitoraggio molecolare e microbico.

Perché sceglierci e cosa possiamo offrirti?

• Pacchetto benefit completo per il benessere fisico ed emotivo.
• Ambiente internazionale, inclusivo e orientato all’innovazione.
• Benefits aziendali: flessibilità oraria, smart working.
• Formazione: alta formazione erogata per accrescere competenze tecniche e il talento personale.

Join us and be yourself !!

Particle Measuring Systems è un datore di lavoro che offre pari opportunità assieme ad un ambiente di lavoro sicuro e inclusivo, basato sul rispetto reciproco e sull'apprezzamento dell'unicità.