Security Compass发布的一份报告针对大中型企业的威胁建模现状做了调查，调查特别关注了企业为构建和部署应用程序扩展威胁建模所面临的挑战。

威胁建模挑战

该研究发现最紧迫的问题是企业构建应用程序威胁建模的优先级越来越高，这与大部分工作越来越自动化的信念相吻合。传统的威胁建模实践历来都很缓慢，阻碍了组织将应用程序快速推向市场的目标。

此外，超过一半的调查者表示，他们在尝试将这一基本流程集成到现有的技术中时出现了问题，这导致调查企业中仅有不到一半的企业对关键网络安全威胁具有充足准备。

威胁建模显然需要更高的可扩展性和自动化，以平衡快速软件开发和安全软件开发。

威胁建模的现状

只有25%的调查参与企业表示他们在软件开发早期的需求收集和设计阶段进行了威胁建模，然后才进行应用程序开发。

不到10%的受访企业表示，他们对开发的90%以上的应用程序进行了威胁建模。最常见的是，企业会测试50~74%的应用程序。

缺乏自动化

超过60%的企业认为其自身的威胁建模所有方面都可以完全自动化，但实际上只有28%达到了该阈值。

超过一半的企业在自动化威胁建模活动并将其与其他技术集成方面面临挑战，41%的受访者表示这一工作需要很长时间。

COVID-19和供应链脆弱性的影响

由于COVID-19，超过80%的企业不得不对其网络安全方法进行循序渐进的转变。

超过84%的企业调查称它们的供应链可能特别脆弱，并因此进行了网络安全策略更改。然而，只有31%的企业对他们开发的与其供应链相关的应用程序进行了威胁建模。

Security Compass首席执行官Rohit Sethi表示：“软件几乎被用于日常生活的方方面面，因此企业必须配备必要的资源，以便对其开发和部署的应用程序进行及时的威胁建模。威胁建模可确保在漏洞成为问题之前就被识别和修复。”