# SAMMY Reviews **Vendor:** Codific **Category:** [Andere GRC-Tools](https://www.g2.com/de/categories/other-grc-tools) **Average Rating:** 4.9/5.0 **Total Reviews:** 6 ## About SAMMY SAMMY ist eine Plattform für das Management der Anwendungssicherheit, die Organisationen dabei hilft, Sicherheitsbewertungen von Anwendungen durchzuführen, die Reife zu verfolgen und messbare Verbesserungen mithilfe von Branchenrahmenwerken zu planen. Es ist für Führungskräfte im Bereich Anwendungssicherheit, Sicherheitsprogrammmanager, technische Leiter und Teams konzipiert, die eine strukturierte Methode benötigen, um aktuelle Praktiken zu bewerten, Lücken zu identifizieren und Verbesserungsarbeiten über ein oder mehrere Teams oder Bereiche hinweg zu koordinieren. SAMMY unterstützt Bewertungen gegen Reife-, Programm- und Kontrollrahmenwerke wie OWASP SAMM, OWASP DSOMM, BSIMM, NIST SSDF, ISO 27001, NIST CSF und OWASP ASVS sowie andere Standards. Um doppelte Anstrengungen zu reduzieren, enthält SAMMY Rahmenwerkmapping-Funktionen, die Ergebnisse von einem Rahmenwerk auf ein anderes übertragen können, einschließlich OpenCRE-Mappings und direkter Mappings, mit Optionen, die eine neue Bewertung basierend auf einem Mapping generieren können. • Multi-Framework-Bewertungen für verschiedene Bewertungstypen, einschließlich Selbstbewertungen, Top-Down-, Bottom-Up-, externe und M&A-Bewertungen, um unterschiedliche Bewertungskontexte zu unterstützen. • Rahmenwerkmappings zur Wiederverwendung von Ergebnissen über Rahmenwerke hinweg und zur Reduzierung redundanter Bewertungsarbeiten, wenn mehrere Standards im Fokus stehen. • Verbesserungsfahrpläne mit Aufgaben und Fristen sowie Ziel- und Zielvorgaben, um Bewertungsergebnisse in geplante Arbeitsaufgaben für Teams umzuwandeln. • Live-Dashboards und interne Berichterstattung zur Verfolgung von Reifepunkten, Fortschritten in Richtung Ziele und Vergleichen zwischen Teams, einschließlich Lückenanalyse-Exporte nach Excel. • Externe Berichterstattung, die formatierte PDF-Berichte generiert, um Audits und Zertifizierungen mit Bewertungsergebnissen und Validierungsdaten zu unterstützen. SAMMY kann auch verwendet werden, um einen wiederholbaren Bewertungs- und Governance-Rhythmus zu schaffen, der die Sicherheitsverbesserungsarbeit sichtbar, priorisiert und im Einklang mit den Erwartungen an die technische Lieferung und die Einhaltung von Vorschriften im Laufe der Zeit hält. ## SAMMY Reviews ### 1. SAMMY: Intuitive, Framework-Reiche Plattform für Sicherheitsreife und kontinuierliche Verbesserung **Rating:** 5.0/5.0 stars **Reviewed by:** Jim Stanhope - C. | Staff Engineer - Product Security, Unternehmen (> 1000 Mitarbeiter) **Reviewed Date:** February 27, 2026 **Was gefällt Ihnen an SAMMY am besten?** SAMMY ist eine herausragende Plattform für jede Organisation, die ernsthaft daran interessiert ist, ihr Anwendungssicherheits- und Software-Assurance-Programm zu verbessern. Entwickelt von Mitwirkenden des OWASP SAMM (Software Assurance Maturity Model), bietet SAMMY eine strukturierte, intuitive und äußerst effektive Möglichkeit, Sicherheitspraktiken im gesamten Softwareentwicklungszyklus zu bewerten und zu verbessern. Eine der größten Stärken von SAMMY ist seine breite Unterstützung für Branchenrahmenwerke. Es integriert nahtlos OWASP SAMM neben Standards wie ISO 27001, NIST SSDF und NIST SP 800‑34, sodass Teams Compliance und Sicherheitsreife an einem zentralen Ort verwalten können. Diese Flexibilität ist besonders wertvoll für Organisationen, die mehrere regulatorische oder Sicherheitsanforderungen ausbalancieren müssen. Die Plattform glänzt auch bei der Bewertung und kontinuierlichen Verbesserung. Sie hilft Teams, schnell Lücken in ihrer aktuellen Sicherheitslage zu identifizieren und dann sinnvolle, messbare Fahrpläne zu erstellen, um diese zu schließen. Die benutzerfreundliche Oberfläche von SAMMY, kombiniert mit rollenbasierter Zugriffskontrolle, unterstützt eine reibungslose Zusammenarbeit zwischen technischen und nicht-technischen Stakeholdern gleichermaßen – ein Bereich, in dem viele Sicherheitstools versagen. Darüber hinaus ist das SAMMY-Team äußerst empfänglich für Kundenfeedback und Funktionsanfragen. Ich schlug vor, die OWASP AIMA (Artificial Intelligence Maturity Assessment) Funktion hinzuzufügen, und sie hatten AIMA innerhalb weniger Wochen in SAMMY integriert. **Was gefällt Ihnen an SAMMY nicht?** Ich habe keine Abneigungen. SAMMY ist eine ausgezeichnete Plattform, die sinnvolle Ergebnisse zu sehr vernünftigen Kosten liefert. **Welche Probleme löst SAMMY für Sie, und wie profitieren Sie davon?** Grundlagen der Reife von Software-Sicherungsprogrammen, Lückenanalyse und Entwicklung eines Verbesserungsfahrplans. ### 2. Eine leistungsstarke Plattform für Cybersicherheitskonformität und kontinuierliche Reifeverbesserung **Rating:** 5.0/5.0 stars **Reviewed by:** Mark W. | Chief Executive Officer, Kleinunternehmen (50 oder weniger Mitarbeiter) **Reviewed Date:** February 04, 2026 **Was gefällt Ihnen an SAMMY am besten?** Bei Conquest Security konzentriert sich unsere GRC-Praxis auf die Gestaltung, Implementierung und Aufrechterhaltung von Informationssicherheits-Managementsystemen (ISMS), die Organisationen dabei helfen, Risiken zu managen, Compliance nachzuweisen und ihre Cybersecurity-Reife kontinuierlich zu verbessern. Wir nutzen SAMMY als zentrale Plattform zur Unterstützung von NIST CSF-basierten Programmen, ISO/IEC 27001-Implementierungen und CMMC Level 1 und Level 2 Bereitschaft als CMMC Registered Practitioner Organization (RPO). ISO/IEC 27001 und CMMC erfordern mehr als nur dokumentierte Kontrollen. Sie erfordern operative Disziplin, definierte Verantwortlichkeiten und den Nachweis einer nachhaltigen Ausführung. SAMMY bietet eine praktische Plattform zur Dokumentation der Kontrollimplementierung, zur Zuweisung von Verantwortlichkeiten, zur Verfolgung von Risikobehandlungsmaßnahmen und zur Aufrechterhaltung von Nachweisen über die Zeit. Für unsere CMMC Level 1 und Level 2 Bereitschaftsarbeit ist dies entscheidend. Wir können klar zeigen, wie Praktiken implementiert, überwacht und aufrechterhalten werden, anstatt als einmalige Compliance-Artefakte zusammengefügt zu werden. SAMMY vereint Bewertungen, Kontrollbibliotheken und Nachweisverfolgung in einem einzigen System. Diese Integration ist besonders wertvoll für Organisationen, die das Unternehmensrisikomanagement, NIST CSF-Ergebnisse, ISO/IEC 27001 und CMMC-Praktiken ausrichten. Sie reduziert Duplikationen, verbessert die Rückverfolgbarkeit und unterstützt konsistente Ergebnisse über interne Überprüfungen, Bereitschaftsbewertungen und externe Audits hinweg. Aus der Perspektive eines ISMS unterstützt dies direkt kontinuierliche Überwachungs- und Managementüberprüfungsaktivitäten. Das Codific-Team demonstriert ein starkes praktisches Verständnis von Cybersecurity-Frameworks und realen GRC-Implementierungsherausforderungen. Ihre Unterstützung spiegelt wider, wie Organisationen tatsächlich CSF-ausgerichtete Programme aufbauen und betreiben, ISO/IEC 27001 implementieren und sich auf CMMC-Bewertungen vorbereiten. Diese Fachkompetenz beschleunigt das Onboarding und verbessert die langfristige Akzeptanz, insbesondere für kleine und mittelständische Organisationen ohne dedizierte interne GRC-Teams. **Was gefällt Ihnen an SAMMY nicht?** SAMMY ist darauf ausgelegt, strukturierte, rahmengetriebene Cybersicherheitsprogramme zu unterstützen, sodass Organisationen den größten Nutzen daraus ziehen, wenn sie es mit einer Informationssicherheits-Managementsystem-Mentalität angehen. Teams, die sich noch in einem frühen Stadium ihrer GRC-Reife befinden, benötigen möglicherweise anfängliche Anleitung, um ihre Prozesse, Rollen und Dokumentation vollständig mit der Plattform in Einklang zu bringen. Unserer Erfahrung nach wird diese anfängliche Ausrichtung, wenn SAMMY zusammen mit klarer Governance und Beratungsunterstützung implementiert wird, schnell zu einer langfristigen Stärke. **Welche Probleme löst SAMMY für Sie, und wie profitieren Sie davon?** SAMMY löst das Problem von Organisationen, die Schwierigkeiten haben, ihr aktuelles Sicherheitsprofil klar zu verstehen und ein realistisches, messbares Zielprofil über Teams und Bereiche hinweg zu definieren. Ohne diese Klarheit sind Investitionen in Cybersicherheitskontrollen oft ineffizient, nicht im Einklang mit dem Geschäftskontext oder werden ausschließlich von Compliance-Checklisten angetrieben, anstatt von tatsächlichen Verbesserungen. SAMMY ermöglicht es Teams, ihr aktuelles Sicherheitsprofil zu kartieren und Zielprofile auf granularer, teambezogener Ebene zu definieren. Diese Zielprofile können compliance-gesteuert sein, wie z.B. CMMC Level 1 oder Level 2 Anforderungen, oder risikogesteuert, wobei der Technologie-Stack der Organisation, die betrieblichen Realitäten und die Geschäftsziele berücksichtigt werden. Dieser Ansatz hilft, die Rendite der Investitionen zu maximieren, indem der Fokus auf Kontrollen gelegt wird, die das Risiko sinnvoll reduzieren oder die Reife voranbringen. Die Bibliothek der Plattform mit vordefinierten Zielprofilen bietet praktische Anleitungen für verschiedene Rahmenwerke und Betriebskontexte, einschließlich NIST CSF, ISO/IEC 27001 und CMMC. Für Conquest Security ermöglicht dies, Kunden zu erreichbaren, verteidigungsfähigen Sicherheitszielen zu führen und über die Zeit hinweg klare Fortschritte zu demonstrieren. Es unterstützt einen Managementsystem-Ansatz, bei dem die Verbesserung des Sicherheitsprofils absichtlich, messbar und nachhaltig ist, anstatt reaktiv oder bewertungsgetrieben. ### 3. Vereinfachte SDLC-Reifegradbewertungen mit SAMMY **Rating:** 4.5/5.0 stars **Reviewed by:** Simon M. | Secure Software Analyst, Unternehmen mittlerer Größe (51-1000 Mitarbeiter) **Reviewed Date:** January 06, 2026 **Was gefällt Ihnen an SAMMY am besten?** SAMMYs stärkste Eigenschaft ist seine prinzipientreue Ausrichtung an OWASP SAMM, die durch einen klaren, geführten Interview-Workflow und automatische Bewertung geliefert wird. Die strukturierten Fragebögen, eingebetteten Berechnungen und Scorecards rationalisieren Workshops und halten Bewertungen über Teams hinweg konsistent. In der Praxis reduziert dies die Vorbereitungszeit und hilft den Beteiligten, sich auf Beweise und Entscheidungen zu konzentrieren, anstatt auf Mechanik. Die Möglichkeit, Ergebnisse in einem benchmark-freundlichen Format zu exportieren, ist besonders hilfreich, wenn wir an Reifegrad-Baselines zusammenarbeiten und anonymisierte Erkenntnisse mit Gemeinschaftsinitiativen teilen. Wir schätzen auch den sicheren, rollenbasierten Zugang und das Multi-Faktor-Onboarding, das unsere Compliance-Mentalität unterstützt und gleichzeitig das Tool für Nicht-Spezialisten zugänglich hält. Die Koordination von Lizenzen und Einladungen für neue Analysten war unkompliziert und ermöglicht es uns, schnell Arbeitssitzungen zu starten. Insgesamt bietet SAMMY eine ausgewogene Kombination aus methodischer Treue, operativer Effizienz und pragmatischen Ergebnissen, die sich leicht mit Ingenieuren und Management besprechen lassen. Seine konsistente Struktur hilft uns, Teams fair zu vergleichen, Verbesserungen zu priorisieren und Bewertungsbefunde mit umsetzbaren Fahrplänen zu verbinden, ohne die Rückverfolgbarkeit zu verlieren. Außerdem ist das Team sehr reaktionsschnell und ich habe mehrmals gesehen, dass Funktionen, die ich angefordert habe, innerhalb weniger Wochen implementiert wurden! **Was gefällt Ihnen an SAMMY nicht?** Obwohl SAMMY effektiv ist, gibt es einige Bereiche, die das Benutzererlebnis verbessern könnten. Die Abläufe im Lebenszyklus von Konten können manchmal (selten, um ehrlich zu sein) fragil sein, was die Einführung für beschäftigte Projektteams unterbricht. Aus Berichtsperspektive ist das standardisierte Scorecard nützlich, aber das Layout und die Anpassungsoptionen wirken für einige Zielgruppen begrenzt. Reichhaltigere Vorlagen (konfigurierbare Erzählungen, Visualisierungen, Risikogruppierungen,...) würden helfen, die Ergebnisse für verschiedene Stakeholder ohne Nachbearbeitung anzupassen. Keiner dieser Punkte ist ein Hindernis, und sie mindern nicht den Wert des Kernprodukts. Ihre Behebung würde SAMMY einfach widerstandsfähiger in komplexen Unternehmensumgebungen machen und unsere Unterstützung während der Bewertungen weiter beschleunigen. **Welche Probleme löst SAMMY für Sie, und wie profitieren Sie davon?** SAMMY hilft uns, unsere SDLC-Reifegradbewertungen zu standardisieren und zu skalieren. Durch die direkte Zuordnung zu SAMM und anderen Rahmenwerken wie ISO27001 bietet es eine gemeinsame Sprache für Governance- und technische Teams, wodurch sichergestellt wird, dass Praktiken konsistent bewertet und Verbesserungsmaßnahmen nachvollziehbar sind. Diese Klarheit reduziert Diskussionen über Kriterien, beschleunigt Workshops und unterstützt evidenzbasierte Entscheidungsfindung. Betrieblich verkürzen die geführten Interviews und die automatisierte Bewertung des Tools die Zykluszeit und verbessern die Qualität, sodass wir mehrere Teams auf gleicher Basis vergleichen und hochwirksame Korrekturmaßnahmen identifizieren können. Es stärkt auch die Zusammenarbeit zwischen mehreren Gutachtern an einem einzigen Projekt. Kurz gesagt, SAMMY reduziert den Bewertungsaufwand, erhöht die Konsistenz und verwandelt Reifegradbefunde in umsetzbare, priorisierte Fahrpläne. ### 4. Best-in-Class SAMM-Tool mit herausragendem Support und Skalierbarkeit **Rating:** 5.0/5.0 stars **Reviewed by:** Verifizierter Benutzer in Beratung | Unternehmen mittlerer Größe (51-1000 Mitarbeiter) **Reviewed Date:** January 12, 2026 **Was gefällt Ihnen an SAMMY am besten?** Es ist das beste kommerziell unterstützte Werkzeug für die Einführung von SAMM und skaliert gut von einem einzelnen Bereich bis hin zu komplexen multinationalen Organisationen. Es glänzt wirklich, wenn Teams befähigt werden, die Verantwortung für ihren eigenen Verbesserungsfahrplan zu übernehmen, da es ein zentrales Zentrum für alle Beteiligten schafft, um den Fortschritt im Auge zu behalten. Das Entwicklungstempo ist schnell und das Codific-Team ist immer bereit, Feedback anzuhören und vorgeschlagene Verbesserungen zu integrieren, wenn sie glauben, dass es der breiteren Nutzergemeinschaft zugutekommt. Das Werkzeug hat sich von einem SAMM-Tool zu einer allgemeineren Reife-Management-Suite entwickelt, die mehrere weit verbreitete Frameworks im GRC- und Produktsicherheitsbereich abdeckt. **Was gefällt Ihnen an SAMMY nicht?** Das Werkzeug entwickelt sich noch und manchmal ändern sich Funktionen oder Layouts. Andererseits ist es ein Zeichen kontinuierlicher Entwicklung. **Welche Probleme löst SAMMY für Sie, und wie profitieren Sie davon?** Für mich löst Sammy die Bereitstellung von SAMM im Unternehmensmaßstab. Das Standard-SAMM-Toolset ist ein anständiges Werkzeug, um zu beginnen, aber sobald man die Marke von 8-10 Teams überschreitet, wird das Jonglieren mit Toolset-Dateien zum Albtraum. Sammy ist ein frischer Wind und ermöglicht es Ihnen, Dutzende oder sogar Hunderte von Teams mühelos zu verwalten, mit leistungsstarken Funktionen zur Identifizierung von Abhängigkeiten, Berichterstattung über Fortschritte und Zuordnung externer Compliance-Treiber zu Team-Roadmaps. ### 5. Intuitives SAMMY-Tool mit klaren Dashboards, leistungsstarken Integrationen und erstaunlichem Support **Rating:** 5.0/5.0 stars **Reviewed by:** Verifizierter Benutzer in Informationstechnologie und Dienstleistungen | Kleinunternehmen (50 oder weniger Mitarbeiter) **Reviewed Date:** March 21, 2026 **Was gefällt Ihnen an SAMMY am besten?** SAMMY hilft dabei, das Software Assurance Maturity Model zum Leben zu erwecken. Es bietet eine intuitive Benutzeroberfläche, um den aktuellen Stand der Antworten in SAMM zu erfassen, und geht darüber hinaus, indem es Zielsetzungen für Ziele und Projektplanung anbietet. Die Integration mit zahlreichen ergänzenden Frameworks ist von unschätzbarem Wert für die Einhaltung von Vorschriften oder das Verständnis der Abdeckung. SAMMY unterstützt mehrere Teams oder Geschäftsbereiche, sodass die gesamte Organisation repräsentiert werden kann. Die Dashboards und Berichte sind klar und bieten einen guten Einblick in den aktuellen Status und den Fortschritt. Die Benutzeroberfläche ist reaktionsschnell und flüssig. Das Team hat bei Bedarf großartige Unterstützung geleistet. **Was gefällt Ihnen an SAMMY nicht?** Ich habe im Moment keine wirklichen Abneigungen gegenüber SAMMY. Ich schätze, dass es sich darauf konzentriert, ein solides Management-Tool für Software Assurance zu einem guten Preis bereitzustellen, ohne zu versuchen, alles für jeden zu sein. **Welche Probleme löst SAMMY für Sie, und wie profitieren Sie davon?** Der Versuch, sichere Softwareentwicklung im großen Maßstab zu verwalten. Die Excel-Tabelle, die SAMM bereitstellt, ist ein guter Anfang, aber wenn man den Punkt erreicht, an dem man mit Fortschritten, Änderungen, Verbesserungen und mehreren Teams Schritt halten muss, ist SAMMY in diesem Bereich von unschätzbarem Wert. Es spart viel Zeit und hilft, Konsistenz und Genauigkeit sicherzustellen. ### 6. Verwandelte einen schmerzhaften, verwirrenden Prozess in einen erreichbaren. **Rating:** 5.0/5.0 stars **Reviewed by:** Verifizierter Benutzer in Bildungsmanagement | Kleinunternehmen (50 oder weniger Mitarbeiter) **Reviewed Date:** February 25, 2026 **Was gefällt Ihnen an SAMMY am besten?** Verwandelte einen schmerzhaften, verwirrenden Prozess in einen machbaren. Und meine Unterstützung durch sie war erstklassig. **Was gefällt Ihnen an SAMMY nicht?** Ich habe eigentlich keine Beschwerden. Anfangs hatte ich einige, aber ich habe ihnen Feedback gegeben und sie haben am nächsten Tag alles behoben. **Welche Probleme löst SAMMY für Sie, und wie profitieren Sie davon?** Wir verwenden es, um den NIST-800-171 Compliance-Prozess zu verfolgen. - [View SAMMY pricing details and edition comparison](https://www.g2.com/de/products/sammy/reviews?section=pricing&secure%5Bexpires_at%5D=2026-05-31+19%3A06%3A16+-0500&secure%5Bsession_id%5D=268a39c3-7911-4ade-8355-2fe40958dfc3&secure%5Btoken%5D=da0a18cdf24a6e79cd4fb404dbefac4ae11dc076b3cd8b0fc4d6270155b3193c&format=llm_user) ## Top SAMMY Alternatives - [Microsoft Purview Records Management](https://www.g2.com/de/products/microsoft-purview-records-management/reviews) - 4.3/5.0 (39 reviews) - [Formalize](https://www.g2.com/de/products/formalize/reviews) - 4.9/5.0 (37 reviews) - [SAP Management of Change](https://www.g2.com/de/products/sap-management-of-change/reviews) - 4.1/5.0 (17 reviews)