A revolução das APIs não foi transmitida na TV. Agora, as empresas precisam encontrar maneiras de combinar diferentes estilos de APIs, padrões e gateways.
O aumento no desenvolvimento de APIs tem sido notável a cada ano. De acordo com um relatório de 2022 da 451 Research, a média de APIs em uso por uma organização é de 15.564, com um crescimento de 201% em um único ano. Cloudflare divulgou que mais da metade do tráfego que processa é baseado em API. Várias tendências estão impulsionando esse crescimento rápido no número de APIs utilizadas pelas empresas, porém esses pontos de integração geralmente são diversos e não estão sob governança.
“Marco Palladino, CTO e co-fundador da Kong, destaca que os APIs são essenciais para a forma como consumidores e empresas utilizam serviços e informações online. Ele ressalta a relevância dessas interfaces em setores emergentes, como inteligência artificial generativa, web3 e blockchain, apesar de poucas pessoas reconhecerem sua importância na área de TI e na economia global, já que sua evolução tem ocorrido de forma discreta.”
A maioria das empresas se depara com um conjunto diversificado de APIs em constante expansão, com diversos estilos e padrões de design. Brian Otten, VP de transformação digital na Axway, destaca que praticamente todas as organizações estão enfrentando essa realidade. Ele menciona ter conversado recentemente com um grande varejista de alimentos que está interessado em integrar APIs REST, recursos baseados em eventos e GraphQL em sua operação.
Além da diversidade de estilos de API, muitas empresas utilizam múltiplos gateways de API ou ferramentas de gerenciamento ao mesmo tempo. Segundo Mark O’Neill, analista da VP da Gartner, as organizações que já possuem soluções de gerenciamento de API estão adquirindo mais soluções do mesmo tipo. Em alguns casos, isso implica substituir a plataforma atual, mas em muitas situações, é um acúmulo de ferramentas.
Neste ambiente com múltiplos paradigmas, a gestão de API está se tornando fundamental para desenvolver diferentes estilos e evitar complicações de um amplo conjunto de tecnologias. Especialistas em API da indústria afirmam que a governança irá demandar mais atenção à documentação, padronização centralizada em toda a organização, unificação de ferramentas e criação de plataformas internas para aprimorar a experiência dos desenvolvedores.
Principais tendências tecnológicas que estão impactando a aceitação das APIs.
As APIs estão se tornando cada vez mais essenciais em diversas tendências de evolução do desenvolvimento de software. Um campo crucial é o intenso movimento em direção à modernização digital. Segundo Jacob Ideskog, CTO na Curity, a modernização dos aplicativos web em grandes empresas tem sido um fator significativo nos últimos anos. Embora as iniciativas e mudanças rápidas estejam envolvidas nesse processo há algum tempo, as organizações de maior porte finalmente aderiram a essa transformação, impulsionando a adoção das APIs de modo geral.
Por exemplo, no desenvolvimento móvel atual, as APIs desempenham um papel crucial ao possibilitar a comunicação entre máquinas. Jeremy Snyder, CEO da FireTail, destaca que cada aplicativo móvel funciona como uma interface para um serviço de back-end na nuvem, comunicando-se por meio de APIs. Ele também destaca o uso de armazenamento em nuvem e serviços de banco de dados como fatores importantes no desenvolvimento focado em APIs.
Uma área que tem impacto no aumento da adoção de APIs é a questão da conformidade. Regulamentos bancários globais têm incentivado os bancos a desenvolver ou disponibilizar APIs. Isso representa uma novidade para muitos bancos, que estão agora oferecendo APIs ao público pela primeira vez. O rastreador bancário aberto atualmente lista mais de 500 APIs bancárias disponíveis.
Nos últimos tempos, houve uma crescente utilização de APIs corporativas devido à demanda por interoperabilidade entre empresas e seus parceiros e clientes, de acordo com James Higginbotham, consultor executivo da API no LaunchAny. O reuso de software também tem sido um fator impulsionador para a adoção de APIs internas, segundo Higginbotham.
As APIs estão contribuindo para o avanço dos aplicativos de inteligência artificial, fornecendo dados precisos para os modelos de linguagem e possibilitando respostas mais precisas dos sistemas de IA. Essas APIs Web têm sido fundamentais para o desenvolvimento de tecnologias de inteligência artificial generativa, além de impulsionarem a criação de soluções de baixo código e sem código ao longo dos anos.
Diversos profissionais apontam outras áreas que aumentam a dependência das APIs, como engenharia de plataforma, arquitetura modular, arquitetura de microsserviços, aplicações de página única, segurança baseada em OAuth, integração de aplicativos SaaS de terceiros, estratégias multicloud híbridas e outras tendências de desenvolvimento de software corporativo. Em suma, as APIs estão presentes em todas as tendências atuais do desenvolvimento de software empresarial.
“Segundo Kristof Van Tomme, CEO e co-fundador da Pronovix, os APIs estão se tornando essenciais para todas as interfaces digitais, assim como a eletricidade impulsiona ferramentas de energia. Com o crescimento do conteúdo gerado pela inteligência artificial, a utilização de APIs para consumir informações de forma programática tende a aumentar.”
A maioria das empresas emprega diferentes estilos de interfaces de programação de aplicativos (APIs).
O estilo de API REST ainda é comumente utilizado para APIs internas e externas, principalmente devido à familiaridade dos padrões HTTP e à compatibilidade com diversas ferramentas. No entanto, empresas modernas estão adotando uma variedade de padrões de design de API, incluindo SOAP, REST, GraphQL, gRPC, arquiteturas orientadas a eventos, entre outros. Alguns especialistas, como Higginbotham da LaunchAny, observam uma tendência em direção ao uso do gRPC para comunicação de alto desempenho entre serviços, e um aumento no uso do GraphQL para acelerar o desenvolvimento. Ideskog da Curity também destaca o crescimento do uso do GraphQL, afirmando que essa tecnologia está encontrando seu lugar na arquitetura de APIs, sendo adotada quando apropriado.
De acordo com Asanka Abeysinghe, CTO da WSO2, é frequente as empresas utilizarem diversos estilos e modelos de design de API para satisfazer diferentes áreas de atuação. Isso acontece devido à variedade de desafios em cada domínio, sendo comum a implementação de APIs específicas para setores como finanças, saúde e logística.
A utilização de diferentes estilos de API de ajuste pode ser benéfica do ponto de vista funcional, indicando uma maior colaboração entre os diversos setores das organizações. Além disso, permitir que os desenvolvedores escolham suas ferramentas contribui para a experiência geral do desenvolvedor. De acordo com Michaela Halliwell, gerente de produto na HCSS, na sua organização, essa abordagem é impulsionada pela autonomia das equipes para adaptar os produtos aos seus casos específicos de uso, levando em consideração as preferências e experiência dos desenvolvedores.
Por outro lado, uma paisagem de API fragmentada nem sempre é planejada. Matt Voget, diretor de tecnologia da Ambassador Labs, explica que a fragmentação pode ocorrer facilmente quando as organizações adotam microsserviços sem coordenar equipes distintas em um padrão organizacional. Voget destaca que, por exemplo, um microserviço que gerencia contas de usuário pode ser suportado por uma API GraphQL, enquanto outro responsável por gerenciar pagamentos pode estar utilizando o OpenAPI com o REST.
De maneira prática, isso poderia resultar em recursos sendo mal utilizados. De acordo com Snyder da FireTail, em empresas maiores, é frequente observar que um mesmo problema foi abordado por duas equipes de desenvolvimento distintas, em áreas de negócio separadas, utilizando padrões de API diferentes.
Recentemente, o aumento no uso de diferentes estilos também pode ser resultado da ausência de diretrizes para a governança das API. Adeeb Tahir, diretor de engenharia de vendas da APIwiz, afirma que a falta de padronização eficaz em todos os programas de API nas empresas é em grande parte causada pelo trabalho em silos das equipes e pela falta de visibilidade entre elas. Isso frequentemente resulta em documentação inconsistente que não reflete corretamente os comportamentos em produção.
Muitas empresas lidam com múltiplos gateways de API.
O estilo interno da API costuma ser diversificado, e as organizações geralmente empregam diferentes ferramentas para administrar suas APIs. Segundo Abeysinghe, do WSO2, é comum as organizações utilizarem múltiplos gateways ou soluções de gerenciamento de APIs ao mesmo tempo. Isso ocorre devido à aquisição paralela que acontece em diversos setores do negócio, levando diferentes unidades a escolher soluções preferenciais para atender a requisitos específicos ou apoiar diferentes fases do ciclo de vida da API.
Além disso, uma organização pode estar evoluindo sua arquitetura ao longo do tempo, incorporando várias ferramentas para manter APIs antigas, suportar novos recursos de microsserviços ou gerenciar o tráfego de entrada, de acordo com Voget, da Ambassador Labs. Voget afirma que os gateways de API são componentes difíceis de serem substituídos, o que torna improvável que a tecnologia escolhida inicialmente seja alterada. Isso implica que as soluções de API se tornam desafiadoras de substituir após fusões e aquisições.
Diferentes partes de uma empresa comum estão em vários estágios de transição para a nuvem ou operam em múltiplas nuvens, o que resulta em necessidades distintas de gestão de APIs. Conforme Ideskog da Curity explica, algumas organizações estão em processos de migração para Kubernetes, mas ainda não finalizaram essa mudança, o que requer a presença de múltiplos gateways. Além disso, sistemas legados muitas vezes demandam soluções de gateway antigos. “Na minha empresa, isso se deve aos ambientes híbridos que utilizam diferentes gateways adaptados à infraestrutura local específica,” afirma Halliwell da HCSS.
Uma outra razão para a existência da condição de múltiplos gateways é a questão da segurança e conformidade. Por exemplo, de acordo com Higginbotham no LaunchAny, uma mesma organização utiliza diferentes instâncias de gateway de API para separar o tráfego interno, de parceiros e de clientes, especificamente voltado para os clientes. Higginbotham destaca que essas múltiplas instâncias de gateway de API ajudam a evitar falhas em cascata que poderiam prejudicar as operações em vários níveis, além de facilitar as auditorias regulatórias ao reduzir o tempo e os recursos necessários para realizá-las.
Resumindo, se várias equipes estão desenvolvendo APIs, é provável que haja diversas formas de gerenciamento de API sendo utilizadas. Isso pode ser vantajoso com documentação centralizada e visibilidade para os demais, mas também pode apresentar desafios.
Como administrar um ecossistema diversificado.
Muitos líderes empresariais consideram a governança essencial para impedir o descontrole da tecnologia. A governança das APIs busca oferecer mais organização ao universo de APIs pouco claras e diversificadas. Esse conceito engloba a documentação, padrões de desenho, diretrizes de segurança, gateways contemporâneos, ferramentas de administração de sistemas antigos, liderança técnica e outros aspectos.
Uma gestão eficaz do portfólio de API requer a aplicação de governança em cada etapa, com o uso de um gateway de API para controlar todos os serviços, de acordo com Palladino da empresa Kong. Ele destaca a importância da automação para a implementação de padrões relacionados à autenticação, autorização, confiabilidade da rede e recuperação de falhas.
Em outras palavras, a gestão da API vai além de uma simples ferramenta, sendo uma estratégia abrangente. De acordo com Snyder da FireTail, não existe uma única ferramenta que possa atender a todos os requisitos de inventário, gerenciamento de ciclo de vida e governança prontamente. Portanto, é aconselhável priorizar as necessidades ao desenvolver uma estratégia de governança de API, em vez de se concentrar em ferramentas específicas.
Então, quais são essas necessidades? Os especialistas da API com os quais conversei para este artigo forneceram várias orientações a serem consideradas ao iniciar um projeto de governança de API, especialmente ao lidar com um conjunto diversificado de estilos e padrões de API em um inventário de API.
Registrar e padronizar o seu inventário de interfaces de programação de aplicativos (API).
Primeiramente, identifique e registre todos os seus serviços. Se viável, opte por uma abordagem específica-primeira. Voget, da Ambassador Labs, sugere implementar um processo no qual todas as APIs distintas sejam detalhadas em arquivos de especificação. Descrições adequadas da API, que sejam legíveis por máquina, como as definições do OpenAPI, podem auxiliar na descoberta das capacidades e ser utilizadas para orientar o estilo, revestimento e testes de contrato.
É essencial ter um local centralizado para visualizar e administrar configurações, que pode ser chamado de inventário ou catálogo de API. Erik Wilde, consultor sênior da INNOQ, enfatiza a importância de organizar o portfólio de produtos, sugerindo a adoção do gerenciamento de API federado conforme recomendado pela Gartner. Esse modelo estabelece um plano de controle único e uma camada de governança que abrange diferentes gateways de API e ferramentas de gerenciamento. O objetivo final é desenvolver um catálogo unificado para promover a utilização de componentes de infraestrutura padrão e padrões de gateway em toda a empresa.
Unificar múltiplos pontos de entrada de API.
Obter uma melhor compreensão sobre como lidar com gateways API e ferramentas de gerenciamento, bem como os padrões de uso associados. De acordo com Allan Knabe, CEO e co-fundador da Apiable, o primeiro passo é conectar todos os gateways API isolados e reunir as APIs já existentes. É essencial catalogar essas APIs e atribuir a responsabilidade a cada uma, de modo a identificar claramente quem é responsável por cada uma delas.
Diversas empresas têm visto um aumento no uso de ferramentas de gerenciamento de API. Nesse sentido, unificar gateways de API sob um único plano de controle pode aprimorar a uniformidade e estabelecer práticas internas padronizadas, conforme destacado por Abeysinghe da WSO2. O’Neill, da Gartner, concorda que muitas organizações almejam ter “um único plano de controle para lidar com diversos gateways de API de diferentes fornecedores.” Contudo, O’Neill observa que essa ideia tem recebido apoio limitado no mercado.
Entretanto, há maneiras eficazes de estimular a descoberta e a reutilização por meio de portais de acesso. De acordo com Van Tomme, da Pronovix, a existência de um portal de desenvolvedor unificado facilita a gestão de APIs de diferentes equipes, possibilitando sua composição e reutilização em toda a organização. Além disso, a criação de uma visualização única pode auxiliar no monitoramento do fluxo de tráfego em APIs.
Concentrar os padrões de design e segurança.
Uma estrutura de governança centralizada que abrange várias etapas do ciclo de vida da API requer padrões organizacionais bem definidos, liderados por um centro interno de capacitação da API. Segundo Halliwell da HCSS, é importante começar estabelecendo os padrões da API e criando uma estrutura centralizada para fazer cumprir esses padrões e tomar decisões, que pode ser composta por um grupo de líderes tecnológicos ou uma equipe dedicada à supervisão da governança.
A gestão das APIs deve ser integrada aos serviços legados, porém é preferível que seja incorporada nos processos de design inicial para o desenvolvimento de novos projetos. Segundo Tahir da APIwiz, para aumentar a maturidade do programa de API, é crucial adotar uma estrutura de governança abrangente em todas as etapas do projeto, compilação e execução. Isso implica que as organizações sigam uma abordagem que defina claramente o design da API, exigindo que a estratégia da API seja estabelecida antes do início do projeto e da implementação.
Um framework de governança de API também deve abordar a questão da segurança. Para o especialista Ideskog da Curity, é fundamental estabelecer uma camada de identidade eficiente, com ênfase em um único identificador para clientes e um conjunto claro de permissões para requisições de API. Ele destaca que isso facilita a autorização, resultando em uma melhor transparência sobre o uso dos recursos e quem pode acessá-los. Além do controle de acesso, outros especialistas recomendam a implementação de padrões de API, o uso de ferramentas de monitoramento e análise, e a aplicação de limites de taxa para proteger a infraestrutura.
Lembre-se da experiência do programador.
A equipe de governança da API deve implementar mecanismos de feedback e defender o desenvolvedor consumidor. É importante guiar as equipes de design de API por um processo de projeto orientado a resultados, garantindo que considerem soluções e se coloquem no lugar do consumidor de API para escolher o estilo de projeto mais adequado. Por exemplo, auxiliar os designers a distinguir entre padrões da indústria e padrões baseados em fornecedores pode facilitar a tomada de decisões.
Uma experiência positiva de desenvolvedor também envolve a automação sempre que possível, tanto para encontrar APIs quanto para aplicar regras de governança. Segundo Snyder, do FireTail, é recomendável utilizar ferramentas automatizadas para obter informações sobre as APIs e as configurações necessárias, a menos que haja um processo de liberação controlado. Otten, da Axway, sugere que os provedores de API devem governar consistentemente as APIs como parte de suas operações, integrando a automação no pipeline CI/CD.
Vantagens de uma boa governança de API.
A gestão das APIs pode trazer diversos resultados positivos para várias coleções de APIs. Segundo Abeysinghe, do WSO2, a gestão eficiente das APIs traz vantagens como assegurar a uniformidade e padronização das APIs, estimular a reutilização e a interoperabilidade, além de aprimorar as medidas de segurança e conformidade. Ao tornar o desenvolvimento e a implementação de APIs um processo mais uniforme e colaborativo em uma empresa, é possível minimizar os desafios relacionados à complexidade e integração.
Maior concordância e proteção.
A importância da governança da API é evidente no que diz respeito à conformidade e segurança. Segundo Palladino da Kong, uma governança eficaz da API assegura a segurança, confiabilidade e escalabilidade dos serviços digitais, apoiando os objetivos de negócios e a conformidade regulatória. É essencial garantir que todas as APIs sigam padrões rigorosos, estejam protegidas contra vulnerabilidades e cumpram regulamentos como GDPR e HIPAA.
De acordo com Ideskog, ao implementar uma governança de API sólida, é possível evitar a prática de utilização de recursos de TI sem autorização. Ele ressalta que ao estabelecer regras claras sobre como divulgar uma API e quais informações de identidade ela pode acessar, é possível impedir que equipes diferentes criem soluções próprias, o que poderia resultar na introdução de novos sistemas em uma plataforma que já possui capacidade suficiente.
No ponto de vista de Ideskog, políticas de controle de acesso pouco claras resultam na restrição de muitas iniciativas de API. Problemas de autenticação e autorização são considerados grandes riscos de segurança em termos de APIs, de acordo com a lista do OWASP. Uma abordagem de governança que lida com essas questões é essencial para acompanhar os ataques cada vez mais direcionados às APIs. De acordo com Tahir da APIwiz, as APIs são frequentemente usadas como pontos de entrada para informações e sistemas sensíveis, como evidenciado por recentes violações de dados em empresas como T-Mobile e Dell, o que mostra que os criminosos cibernéticos estão sempre à espreita.
Evitar gastar energia em vão.
Além de satisfazer as necessidades de segurança e regulamentação, APIs bem gerenciadas podem trazer mais consistência a um ambiente digital, de acordo com Wilde do INNOQ. APIs não gerenciadas podem resultar em recursos sendo desperdiçados, pois os mesmos problemas são resolvidos repetidamente em vez de estabelecer uma prática sólida em uma plataforma. Com uma governança adequada de APIs, é possível eliminar esforços duplicados e diminuir o tempo gasto procurando APIs para projetos. “Muitas vezes, a API necessária para a implementação já existe”, afirma Snyder. “Com uma boa governança, é provável que você tenha acesso a um inventário que facilitará a sua busca.”
Em muitas situações, há iniciativas em andamento para diminuir a disseminação e unificar processos, visando reduzir os custos de licenciamento e manutenção. Além disso, alguns apontam vantagens como implementação mais veloz de software, economia nos custos de licenciamento e manutenção, simplificação do monitoramento do desempenho empresarial, maior potencial de lucratividade e, de forma geral, um resultado mais eficiente.
Projetos de API com maior uniformidade.
A governança das APIs pode também contribuir para estabelecer padrões de design internos mais uniformes. Voget afirma que uma governança sólida é fundamental para assegurar a consistência das APIs e a utilização de padrões previsíveis, o que facilita a integração entre as APIs e interfaces externas. Guias de estilo, políticas de cobertura e testes de contrato podem auxiliar na redução de falhas e na identificação de possíveis lacunas de segurança. A ausência desse tipo de governança pode resultar na negligência desses detalhes, acarretando sérios riscos.
Definir esses padrões e automatizar revisões e verificações de projeto quando possível pode facilitar muito o processo de desenvolvimento da API. Essas ações também têm o potencial de diminuir atividades repetitivas ao longo do ciclo de vida da API e orientar o desenvolvimento futuro. Segundo Higginbotham, uma governança eficaz da API torna as decisões padrão simplificadas para as equipes ao iniciarem um novo projeto ou atualização da API, e também auxilia a organização a absorver ensinamentos de experiências passadas.
Aprimoramento da cooperação e da harmonização de objetivos empresariais.
Finalmente, contar com uma estrutura de governança de API em funcionamento melhora a cooperação com diferentes envolvidos, sejam eles consumidores internos ou externos. Segundo Halliwell, a governança das APIs assegura que todos estejam alinhados com os mesmos objetivos. Ela ainda destaca que fornecer APIs coerentes e bem documentadas aprimora a experiência do usuário e confere à sua API a reputação de ser fácil de utilizar.
Compartilhar conhecimento interno pode diminuir as ineficiências e evitar soluções improvisadas, além de promover a conscientização sobre as APIs entre os interessados nos negócios. De acordo com Knabe, da Apiable, a principal vantagem é que os gerentes de negócios conseguem entender quais APIs estão disponíveis e qual equipe é responsável por elas. Se as APIs estão isoladas e sem governança adequada, os desenvolvedores frequentemente precisam participar de reuniões de negócios para explicar o que é viável e o que não é.
Perspectivas futuras da governança de APIs
A paisagem de API difere consideravelmente entre as empresas, e a maioria dos esforços para consolidar a governança ainda está em andamento. Conforme os portfólios de API se expandem, a importância da governança de API se torna mais evidente. A adoção de microsserviços, funções sem servidor e aplicativos de página única ao longo da última década aumentou significativamente o tamanho do portfólio de API empresarial.
No futuro, alguns especialistas preveem um aumento na utilização de padrões de API em diversos setores. Espera-se uma maior adoção de protocolos como OAuth, GraphQL, OpenAPI e AsyncAPI. Além disso, a inteligência artificial deve desempenhar um papel importante no desenvolvimento de API, facilitando a classificação e a automação, incluindo análise preditiva e conformidade automatizada, o que resultará em uma redução dos processos manuais de governança.
Simultaneamente, a rapidez em incorporar funcionalidades de inteligência artificial pode agravar a situação de um amplo conjunto de APIs. Segundo Higginbotham, a IA Gerativa se tornará mais um elemento de ampliação do portfólio de APIs. A questão é se a economia das APIs irá agregar valor ao investir nas pessoas, processos e ferramentas necessárias para lidar com o aumento das APIs que estamos presenciando atualmente.
A disciplina de engenharia de plataforma emergente pode ser útil para atender a essa demanda. É provável que surjam catálogos mais integrados que reúnam diversas ferramentas já existentes. Segundo Van Tomme, da Pronovix, as organizações devem começar enfatizando a capacidade de descobrir e localizar recursos. Um registro de API para questões de segurança e gestão pode se diferenciar do portal de desenvolvedores.
Alguns acreditam que a segurança dos requisitos terá mais importância na governança futura das APIs. “Eu prevejo que a governança será considerada principalmente sob a ótica da autorização nos próximos anos”, afirma Ideskog. “Uma ferramenta de autorização mais eficaz possibilitará uma governança mais robusta e será um fator chave para a dimensão governamental da economia das APIs”, acrescenta ele.
Neste momento, espera-se que os regulamentos de segurança específicos do setor incentivem a adoção de mais práticas de governança de API em todas as áreas. De acordo com Shukla, da APIwiz, acredita-se que os regulamentos externos em crescimento, como os padrões bancários e de saúde abertos, juntamente com as preocupações crescentes sobre a segurança dos dados de IA, vão motivar as organizações a dar prioridade a uma governança rigorosa em seus projetos de API.
No entanto, devido à complexidade das necessidades de gestão de API, as organizações também precisarão promover uma mudança cultural. Em alguns casos, isso implica na responsabilidade do líder em manter os padrões das API. De acordo com Knabe, da Apiable, a presença de um gerente de produtos de API garante que as APIs sejam mantidas e atualizadas de forma adequada, se a implementação for feita corretamente.
Em síntese, a gestão das APIs requer uma abordagem abrangente para monitorar e controlar a utilização das APIs em toda a empresa, enfrentando desafios técnicos diversos. Voget destaca que, independentemente de ser chamada de governança, padronização ou estratégia de plataforma, a importância disso aumentará à medida que as APIs se disseminam e a demanda por arquiteturas flexíveis, modulares e baseadas em microserviços cresce.