API可以翻译文本、标记图像、发送文本消息、检查欺诈行为、检索公开的银行数据,以及处理越来越多的业务交易。API可能很快就会成为查询冠状病毒疫苗接种状态的方法。随着API对组织内部的IT和开发过程变得至关重要,首席信息官需要考虑管理、法规遵从性和访问:谁可以通过哪种治理模型使用哪些API访问哪些组织的数据?
他们还需要考虑组织通过API进行有效外包的内容。纯粹出于技术原因而选择API的开发人员可以做出组织购买决定或选择战略方向。
其策略需要在不影响敏捷性的情况下控制API使用。这需要清楚地了解组织中使用了哪些内部和外部API、它们的用途、成本以及可靠性。从战略来说,首席信息官需要明确API如何为业务做出贡献。
整合与组合
微软公司低代码应用平台公司副总裁Charles Lamanna说:“我们的许多客户都希望实际上拥有API经济体和API目录,并且可以在组织的所有孤岛中公开数据。”
Lamanna表示,在低代码平台上使用API网关或其他API管理解决方案将会释放大量机会,因为开发人员可以构建这些微服务,并将其发布以供其他开发人员使用,其他开发人员可以通过Power平台使用它们。
但是拥有“API经济体”远远超出了低代码和无代码的范畴。正如Postman公司首席执行官Abhinav Asthana指出的那样,组织在开始指定和设计软件时就需要考虑API,而不是等到项目完成后再考虑。他说:“最终可能会做出并不理想的决策,这将面临更大的合规性和治理风险。如果组织如今正在构建一个应用程序,那么它不可能不与外界交流。所以需要从一开始就要做好规划。”
API不仅用于外部消费服务;企业通常会创建自己的API,以提供对业务中通用数据的自助服务访问,或简化与供应商的信息交换。如果可以很容易地获得有关发票付款和运输状态的交易信息,供应商的进入或处理付款查询的效率就会更高,但它通常会锁定在多个企业资源计划(ERP)系统中。创建API并将它们发布在目录中可以避免很多支持要求。
谷歌公司的合作伙伴SADA公司首席技术官Miles Ward建议:“需要考虑组织所独有的数据或功能,或者向其他人出售这些数据或功能。API是连接信息的方式,只有当信息流动时才真正有价值。如果组织的数据无法通过中央可编程的可扩展接口获得,并且无法流向有用的地方,那么是对这些工作进行优先级排序的时候了。”
Commercetools公司首席产品官Kelly Goetsch表示,某些应用程序将几乎完全通过API调用来构建。Gartner公司所称的“可组合商务”就是这种趋势的一个很好的例子。
他说,“可组合技术改变了以往的开发方法。组织不需要由大量开发人员组成的团队来生成大量Java代码,而只需要少量技术娴熟的员工使一些不同的应用程序一起工作,通常可以通过事件架构和API调用来协同工作。”
Goetsch表示,首席信息官们真正需要的是已批准和正在使用的API目录以及综合治理战略,这一战略可以应用于开发人员用于访问的API网关,并有一个通用的安全框架。他说:“组织需要决定要构建哪些API,以及要从第三方供应商中选择哪些API,网关就是如何管理开发人员对这些API的访问。”
API网关通常是硬件设备,但这种情况正在发生变化。如今有一些主流的API管理工具,它是每个主要云平台上的一项商品服务,具有服务组合、速率限制和访问控制(包括端点和实例过滤)选项,在许多情况下,甚至可以针对单个操作进行选择。可以提供使用率、错误率和其他可观察性指标。还有第三方服务(例如APImetrics)可以跟踪公共API的性能和可用性。
创建更加正式的API策略
创建更加正式的API策略的第一步是审核哪些API是可用的或正在使用的。为此,需要确保已对其进行了记录和发现。
Asthana指出,“在一个组织的不同领域有很多重复。”他建议首席信息官让开发人员参与架构讨论,以提高对API管理的认识。
此外,已经在使用的API很容易被忽略。一家大型医疗机构建立了一个API目录,在开始时使用的API只有450个,而最终使用的数量接近4000个。查看代理和日志文件以及其他取证的工具可以找到企业中已经存在的API,并生成OpenAPI描述。
在建立目录之后,不仅应使用它来跟踪API的发布和使用,还应创建更具策略性的API生命周期管理策略。
一些组织开始招聘API架构师,建立API卓越中心或治理小组来监督API政策。尤其重要的是要跟踪API的使用以及在组织中的分布情况,确保提供内部API的系统得到适当的资源(特别是机器人流程自动化可以从Excel电子表格创建API),确保它们的安全以避免发生数据泄露,就像Bumble和Equifax的服务一样。
Digital.ai公司EMEA地区技术总监Winston Bond说,“这些漏洞显示了现代应用程序对API的依赖程度,以及一家组织将所有这些API保持私密并将其全部锁定是多么复杂,由一大堆基于云计算的微服务(例如Bumble)构建的应用程序暴露了许多在防火墙后面得以安全保护的连接。”
成本、信任和与合规性
建立有关API使用透明性的另一个原因:成本控制。API通常像其他任何云计算服务一样被对待,但是它们的使用通常更加不可预测,这可能导致成本超支。
Zylo公司首席执行官Eric Christopher表示:“由于定价模型很复杂,它们是基于消费的,首席信息官们无法控制组织将如何消费应用程序,所以能做的只能是预测。”
首席信息官需要知道如果API不可用或无法正常运行,API将会由于业务丢失和其他中断而造成多少损失,以及谁应该对导致出现这种情况而负责。服务等级协议(SLA)是一种规范,但它们必须足够细化以涵盖组织使用的API。服务水平目标、经验和基于结果的协议可能更合适,因为重要的是结果而不是联系。
APImetrics公司首席执行官David O'Neil警告说:“综合事务监控将显示运营和性能问题,但很少有API提供程序提供生产测试帐户或验证自己的文档,如果无法在生产中测试任何内容,那么组织如何实际验证这些功能是否有效?组织的生产环境可能会崩溃,却在很长时间内对此一无所知。”
OpenID基金会正在基于跨地区的正常运行时间和速度来开发所谓的“信任框架”,以用于云计算基础设施、金融服务和开放银行中的API。这些可发现性、质量和合规性问题对于银行、医疗保健和政府服务等受监管行业的API来说越来越重要。
O’Neil希望就如何测量和监视受监管的API达成共识,从测量延迟到评估文档以及验证API模式的质量和合规性。他说,“需要某种记分卡指标和将其设置在行业范围内的政策小组。API所发生的某些事情将是全球性的事情,它们需要一套一致的标准。”
2021年的优先事项
Constellation Research公司副总裁兼首席分析师Dion Hinchcliffe表示,API生命周期管理在许多组织中仍处于初级阶段。他说,“云原生无疑使微服务和容器成为IT领域的重点关注的内容,去年是Kubernetes与IT的转折点,因此2021年将会面临这些问题以及在首席信息官层面上更广泛的应用。”
Hinchcliffe指出,毫不奇怪,金融服务和医疗保健等受监管的行业更加关注API的应用。例如美国一个顶级的医疗保健网站收入的四分之一来自API,并预计在未来几年内增长到一半以上。他表示,由于收入潜力如此巨大,API设计、选择、管理、治理现在突然变成了企业关注的问题。
Zylo公司的Christopher说,“让业务部门来管理自己的软件和技术的首席信息官对API的使用更了解。组织的首席执行官会说,‘你的工作是了解业务中发生的一切,并通过技术使这些部门运转得更好。’”
Postman公司的Asthana说,“作为一名首席信息官,我想知道,哪些是我的外部依赖关系,哪些是我的内部依赖关系,如何将它们结合在一起。这样做具有很大的优势:我知道如何为工程团队配备人员,知道可以使用哪些构建基块,并且可以更加有效地为这些事情设定路线图。”
Asthana警告说:“反之亦然,我的看法是,如果仍然不了解将会发生哪些事情,解决方案在于实施API策略,那么可能会遇到很多问题。你可以将其看作开发人员生产力问题、合规性问题或隐私问题,而这些问题在API策略中都有相应的解决方案。”