DevOps Engineer

Do you want to be part of a business that genuinely values
** entrepreneurialism**,
** innovation
* * and  We
** focus on our customers
** and are proud of the difference our technology makes. We partner with some of the biggest manufacturing companies in the world and our technical innovations are used to enhance well-known brands across multiple industries.

Siamo alla ricerca di un
** Dev Sec Ops  Engineer
** che collaborerà attivamente con sviluppatori, sistemisti e project manager, contribuendo alla system integration e alla gestione di infrastrutture complesse, con particolare attenzione a performance, automazione, affidabilità, e cyber security (CRA).
** Obiettivi principali*
* • Integrare i controlli di sicurezza nei flussi di lavoro di sviluppo sia del software che dell'embedded/firmware.  
• Garantire che tutti i componenti digitali (codebase, firmware, librerie) siano conformi ai requisiti del CRA durante tutto il loro ciclo di vita.  
• Rafforzare la cyber-resilienza tramite pratiche secure-by-design e secure-by-default.  
• Garantire la tracciabilità, l'integrità e la sicurezza dell'intera supply chain del software e del firmware.
** Responsabilità (Software + Firmware)
**** Sviluppo Sicuro di Software e Firmware (SSDLC + ES-SDLC) in conformità al CRA.*
* • Integrare SAST (Static Application Security Testing), SCA (Software Composition Analysis), analisi delle dipendenze e analisi binaria nei pipeline CI/CD.  
• Promuovere il coding sicuro per software e sistemi embedded  
• Setup tool per threat modeling su moduli software e componenti embedded/firmware.  
• Supportare l'implementazione di crittografia, firma e processi di boot sicuro per il firmware.
• Supportare la progettazione e la validazione di bootloader sicuri.  
• Implementare misure protettive per memoria, interfacce e protocolli di comunicazione.  
• Garantire la consegna sicura degli aggiornamenti per il firmware (meccanismi OTA o locali).  
• Supportare l'analisi statica e dinamica del codice embedded (MISRA, CERT-C).  
• Validare l'autenticità e l'integrità del firmware.
** Gestione delle Vulnerabilità (Software + Firmware)*
* • Gestire le vulnerabilità basandosi su exploitabilità, CVSS e obblighi del CRA.  
• Coordinare le attività di remediation con i team di sviluppo e embedded.  
• Supportare la risposta agli incidenti in caso di vulnerabilità software o firmware sfruttate.  
• Gestire i processi di disclosure responsabile come richiesto dal CRA.
** Sicurezza della Supply Chain del Software e Firmware*
* • Generare e mantenere SBOM (Software Bill of Materials) per software e firmware (es. Cyclone

DX, SPDX).  
• Validare librerie di terze parti, toolchain e dipendenze Software/Firmware.  
• Implementare:  o Firma degli artefatti  o Hashing e controlli di integrità  o Archiviazione sicura dei risultati di compilazione  o Firma del Software/Firmware e packaging sicura degli aggiornamenti    Autunn0   
• Valutare i rischi derivanti da compilatori, sistemi di build, driver e dipendenze a basso livello.
** Sicurezza CI/CD per le Build di Software e Firmware*
* • Proteggere i sistemi di build, i repository di codice e i flussi di lavoro CI/CD (on-prem).  
• Integrare gate di sicurezza automatizzati e controlli di qualità per le build di software e firmware.  
• Garantire la tracciabilità delle modifiche, dei commit e degli artefatti di rilascio.  
• Supportare build riproducibili per il firmware.
** Competenze Tecniche*
* * Software Security
* • Strumenti SAST: es. Sonar Qube, Fortify, Checkmarx, CodeQL  
• Strumenti SCA: es. Snyk, Trivy, Dependency-Track, Black Duck  
• Revisione del codice per la programmazione sicura (OWASP, CERT)
* Embedded/Firmware Security
* • Esperienza con sistemi embedded C/C++  
• Conoscenza di microcontrollori e ambienti real-time  
• Strumenti di scansione del firmware/analisi binaria  
• Boot sicuro, firma del firmware e meccanismi di aggiornamento  
• Familiarità con protocolli di comunicazione embedded (SPI, I2C, UART, Modbus, CAN, ecc.)
* Dev Sec Ops  (solo On-Prem)
* • Sistemi CI/CD (Git Lab CI, Jenkins, Azure Dev Ops Server)  
• Git e strategie di versioning  
• Automazione build (CMake, Make, toolchain personalizzati)  
•…