SAMMY ist eine Plattform für das Management der Anwendungssicherheit, die Organisationen dabei hilft, Sicherheitsbewertungen von Anwendungen durchzuführen, die Reife zu verfolgen und messbare Verbesserungen mithilfe von Branchenrahmenwerken zu planen.
Es ist für Führungskräfte im Bereich Anwendungssicherheit, Sicherheitsprogrammmanager, technische Leiter und Teams konzipiert, die eine strukturierte Methode benötigen, um aktuelle Praktiken zu bewerten, Lücken zu identifizieren und Verbesserungsarbeiten über ein oder mehrere Teams oder Bereiche hinweg zu koordinieren. SAMMY unterstützt Bewertungen gegen Reife-, Programm- und Kontrollrahmenwerke wie OWASP SAMM, OWASP DSOMM, BSIMM, NIST SSDF, ISO 27001, NIST CSF und OWASP ASVS sowie andere Standards.
Um doppelte Anstrengungen zu reduzieren, enthält SAMMY Rahmenwerkmapping-Funktionen, die Ergebnisse von einem Rahmenwerk auf ein anderes übertragen können, einschließlich OpenCRE-Mappings und direkter Mappings, mit Optionen, die eine neue Bewertung basierend auf einem Mapping generieren können.
• Multi-Framework-Bewertungen für verschiedene Bewertungstypen, einschließlich Selbstbewertungen, Top-Down-, Bottom-Up-, externe und M&A-Bewertungen, um unterschiedliche Bewertungskontexte zu unterstützen.
• Rahmenwerkmappings zur Wiederverwendung von Ergebnissen über Rahmenwerke hinweg und zur Reduzierung redundanter Bewertungsarbeiten, wenn mehrere Standards im Fokus stehen.
• Verbesserungsfahrpläne mit Aufgaben und Fristen sowie Ziel- und Zielvorgaben, um Bewertungsergebnisse in geplante Arbeitsaufgaben für Teams umzuwandeln.
• Live-Dashboards und interne Berichterstattung zur Verfolgung von Reifepunkten, Fortschritten in Richtung Ziele und Vergleichen zwischen Teams, einschließlich Lückenanalyse-Exporte nach Excel.
• Externe Berichterstattung, die formatierte PDF-Berichte generiert, um Audits und Zertifizierungen mit Bewertungsergebnissen und Validierungsdaten zu unterstützen.
SAMMY kann auch verwendet werden, um einen wiederholbaren Bewertungs- und Governance-Rhythmus zu schaffen, der die Sicherheitsverbesserungsarbeit sichtbar, priorisiert und im Einklang mit den Erwartungen an die technische Lieferung und die Einhaltung von Vorschriften im Laufe der Zeit hält.
