Security Compass發布的一份報告針對大中型企業的威脅建模現狀做了調查，調查特別關注了企業為構建和部署應用程序擴展威脅建模所面臨的挑戰。

　　威脅建模挑戰

　　該研究發現最緊迫的問題是企業構建應用程序威脅建模的優先級越來越高，這與大部分工作越來越自動化的信念相吻合。傳統的威脅建模實踐歷來都很緩慢，阻礙了組織將應用程序快速推向市場的目標。

　　此外，超過一半的調查者表示，他們在嘗試將這一基本流程集成到現有的技術中時出現了問題，這導致調查企業中僅有不到一半的企業對關鍵網絡安全威脅具有充足準備。

　　威脅建模顯然需要更高的可擴展性和自動化，以平衡快速軟件開發和安全軟件開發。

　　威脅建模的現狀

　　只有25%的調查參與企業表示他們在軟件開發早期的需求收集和設計階段進行了威脅建模，然后才進行應用程序開發。

　　不到10%的受訪企業表示，他們對開發的90%以上的應用程序進行了威脅建模。最常見的是，企業會測試50~74%的應用程序。

　　缺乏自動化

　　超過60%的企業認為其自身的威脅建模所有方面都可以完全自動化，但實際上只有28%達到了該閾值。

　　超過一半的企業在自動化威脅建模活動并將其與其他技術集成方面面臨挑戰，41%的受訪者表示這一工作需要很長時間。

　　COVID-19和供應鏈脆弱性的影響

　　由于COVID-19，超過80%的企業不得不對其網絡安全方法進行循序漸進的轉變。

　　超過84%的企業調查稱它們的供應鏈可能特別脆弱，并因此進行了網絡安全策略更改。然而，只有31%的企業對他們開發的與其供應鏈相關的應用程序進行了威脅建模。

　　Security Compass首席執行官Rohit Sethi表示：“軟件幾乎被用于日常生活的方方面面，因此企業必須配備必要的資源，以便對其開發和部署的應用程序進行及時的威脅建模。威脅建模可確保在漏洞成為問題之前就被識別和修復。”