本研究调查了荷兰组织在威胁建模实践中的现状。通过案例研究和问卷调查，作者收集了来自不同行业（如金融、政府、医疗）的安全从业者的反馈。研究发现，虽然威胁建模被认为是安全设计的关键活动，但实际采用率较低，主要障碍包括缺乏时间、专业知识不足、工具支持有限以及难以融入现有开发流程。组织普遍采用非正式方法，如白板讨论或头脑风暴，而结构化方法（如STRIDE、PASTA）使用较少。研究还揭示了威胁建模文档通常未被及时更新，且与风险管理过程脱节。主要贡献包括：提供了威胁建模实践现状的实证数据，识别了常见挑战，并为改进工具和流程提出了建议。适合安全架构师、风险管理者和DevSecOps团队阅读，以了解威胁建模在现实中的落实现状。