Разрастание API означает не очень частные API при возросшем использованием API для ИИ. Последствия для API-менеджмента вызывают беспокойство. Что-то прогнило в области API. С другой стороны, это может быть просто атрофия. Таково мнение Кина Лейна, главного евангелиста платформы Postman и автора блога API Evangelist, которое приводит портал The New Stack.
За 15 лет с тех пор, как Кин Лейн основал API Evangelist, мало что изменилось в управлении API. Посредством API по-прежнему переплетены практически все бизнес-процессы и технологии, и они являются предпочтительным способом для разработчиков создавать и получать доступ к данным. Конечно, разрастание API значительно масштабировалось, а вместе с этим расширялась и область их применения. Но организации всех размеров по-прежнему испытывают трудности с конвейерами, обнаружением, интеграцией и документированием API.
«Произошли постепенные изменения, но я все еще слышу от корпоративных организаций все те же вопросы, что и в
Действительно, отчет, основанный на анонимизированном наборе данных об одном миллиарде API-запросов, 15 тыс. API и 500 тыс. конечных точек, показал, что большинство крупных предприятий поддерживают более 1000 API, причем большинство API считаются частными или внутренними, но значительное их количество фактически общедоступно.
Внедрение ИИ только увеличивает разрастание API, в то время как безопасность API остается на низком уровне. Поразительные 76% всех отслеживаемых запросов имели средний уровень угрозы, в то время как 85% API не используют никаких форм ограничения скорости. Более половины не имеют никакой аутентификации.
API-менеджмент по-прежнему не является стратегическим по своей сути и не является безопасным по своей сути, что превращает конечные точки в векторы атак.
Насколько продумана ваша программа API?
API подобны электричеству, сказал Лейн. Они необходимы для работы вашего бизнеса, но, возможно, вам нет до них дела, пока не попытаетесь масштабировать.
По его словам, как индивидуальные потребители мы в среднем делаем более 10 тыс. вызовов API в день, из-за чего они являются такими же важными, как и утилиты, на которые мы полагаемся.
«Вам нужно контролировать весь ландшафт API для бесперебойной работы, — сказал ведущий вебинара Пратим Бхосале, специалист по работе с разработчиками SurrealDB, утверждая, что структура API оказывает большое влияние на бизнес. — Если ваша структура API недостаточно сильна, и ваши политики в отношении того, как вы создаете свои API, недостаточно сильны, то это грозит разрушить предприятие».
Действительно, заметил Лейн, мало что изменилось в сфере API за последние
Однако API — основа коммуникации между приложениями, данными и во все большей степени ИИ — по-прежнему остаются в самом низу приоритетов руководства. Почему?
«Их трудно увидеть. Они цифровые. Как вы можете увидеть API? — задался вопросом Лейн. — Люди не рассказывают о своих собственных API и тех, которые они создают для приложений».
Инструменты наблюдаемости, документация, игровые площадки и песочницы — вот способы, которые он предложил для повышения видимости API. Конечно, партнерские API позволяют получать множество отзывов. Самое главное, подчеркнул он, — это рассказывать истории о параметрах запросов, других рисках и бизнес-кейсах использования API.
Действительно ли ваши внутренние API являются частными?
Эксперты подсчитали, что средняя компания определяет около 60% своих API как частные или внутренние, еще 30% как партнерские и только около 10% как общедоступные. И их корпоративные клиенты всегда бывают шокированы, узнав, насколько они ошибаются.
«Все всегда больше заботятся о публичных API, чем о внутренних, потому что им кажется, что все могут видеть публичные, но никто не знает о внутренних», — сказал Ведран Синдрич, генеральный директор и основатель платформы наблюдаемости и безопасности Treblle.
Лейн рассказал, что часто начинает взаимодействие с клиентами, загружая их мобильное приложение или посещая их веб-сайт, а затем выполняет реинжиниринг и проксирование API. Затем он может распечатать открытый код этих так называемых частных API. И внезапно обнаружение, инвентаризация и безопасность API становятся более актуальными.
«API моментально распространяются в средах этих предприятий, а те в значительной степени не знают о существовании этих каналов, — сказал Лейн. — Не говоря уже о том, как они собираются их стандартизировать и развивать».
Из этого откровения следует, что речь идет о необходимости связи API-стратегии с бизнес-целями.
«Они хотят, чтобы их сотрудники делали в 10 раз больше. Они хотят иметь возможность сократить их в 10 раз и быть более эффективными, — рассказал Лейн о том, зачем его чаще всего привлекают заказчики. — Вопрос в том, как свести воедино то, что они делают с API, и то, что они делают с управлением, документацией, сводками, списками и правилами для кодов состояния». По его словам, они могут начать оценивать разрастание API, но доказать важность согласованных кодов состояния сложнее.
Кроме того, поскольку границы внутренних и внешних, публичных и частных API размываются, становится трудно определить, какие API являются критически важными для каждой бизнес-области. «У вас есть публичные API, которые предназначены для использования третьими лицами, то есть вы намеренно публикуете их публично для использования третьими лицами, — пояснил Лейн. — К ним относятся партнерские API, но, опять же, у вас могут быть доверенные и недоверенные партнеры. И, конечно, есть непреднамеренные сторонние API и данные и API, которые вы сами раскрываете невольно».
API имеют решающее значение для общей тенденции производительности
Поскольку отрасль уделяет все больше внимания производительности разработчиков, устранению избыточности и поощрению повторного использования, внутренним API необходимо уделять больше внимания.
«Именно здесь вы можете получить максимальную отдачу от своих вложений, потому что вы знаете каждую маленькую помеху, которую вы вносите в этот конвейер. Это ваши собственные сотрудники, которых вы замедляете», — сказал Лейн. Вот почему он утверждает, что такие API следует разрабатывать самим: «Вы — сами себе и производитель, и потребитель. Эти API общедоступны, но вы не говорите о них. Они теневые. Они скрыты. Они не защищены. Они не согласованы».
Учитывая это, неудивительно, что еще почти десять лет назад The New York Times заявила, что не любит внешние API, поскольку ее внутренние API так важны для обеспечения непрерывности бизнеса.
В отчете плохой API-менеджмент также отражается в тенденции в области платформенного инжиниринга, согласно которой обнаружение сервисов — включая обнаружение API — является одной из первых задач, которую хотят решить разработчики. Существует постоянный спрос на панели инструментов API как способ повышения видимости API, запросов и ответов.
Экономика API всегда сталкивалась с проблемой, связанной с тем, что она кажется техническим вопросом, и архитекторам API бывает трудно говорить оь их ценности для бизнеса. Любая API-стратегия и соответствующие инструменты визуализации должны быть способны донести бизнес-ценность до менеджеров по продуктам и шире.
Однако инвестиции в образование и обучение сокращаются, особенно во время экономического спада, отметил Лейн. Только около 10% разработчиков останавливаются, чтобы прочитать документацию — возможно, их будет больше благодаря интеграции чат-бота с генеративным ИИ, например, Copilot от GitHub, — в то время как «все остальные просто бегут на производство», сказал он.
Не говоря уже о том, что мало кто из этих разработчиков под этим возросшим давлением успевает переобучиться создавать более качественные и безопасные API, отметил Синдрич,.
Рост ИИ значительно ухудшает безопасность API
Как и в случае с объемом кода, быстрое расширение API стимулируется ИИ, что привело к 10%-ному росту корпоративных API только в прошлом году.
В исследовании о состоянии сферы API было обнаружено, что более половины всех API не являются тем, что Treblle называет «готовыми к ИИ» — они не спроектированы с учетом потребления LLM.
ИИ также увеличивает сложность API. Средний API в 2023 г. имел 22 конечных точки, тогда как в
Конечно, все это не считая того, что, по данным Gartner, 71% предприятий используют API через третьих лиц. А рост интеграции, связанной с ИИ, только увеличивает риски безопасности и сложности. Но, с другой стороны, ИИ окажет неоценимую помощь в обнаружении API.
Хотя от ИИ есть плюсы для ваших API, мы знаем, что большинство организаций сосредотачиваются на сценарии использования, связанном с генерацией кода с помощью ИИ. Поскольку больше ИИ означает больше кода и больше проблем, неудивительно, что снижение безопасности и увеличение разрастания ландшафта API идут бок о бок. Большинство API, поддерживающих ИИ, созданы с использованием языков на основе JavaScript — в большинстве случаев это прокси-API. В отчете также обнаружено, что API на основе JavaScript имеют самую низкую оценку качества и безопасности среди всех языков. Средний язык API получил 57 из 100, в то время как Javascript — 42.
Планка безопасности API в целом очень низкая, показал отчет Treblle, при этом 52% рассмотренных запросов не имеют никакой формы аутентификации. Добавьте к этому, что 85% всех рассмотренных API не используют никакой формы ограничения скорости — это делает их широко открытыми для атак. Это еще раз указывает на то, насколько публичными на самом деле являются так называемые «частные» API.
Помимо мрачной статистики, представленной выше, 55% запросов не используют шифрование SSL или TSL.
В отчете программам управления корпоративными API присвоен средний балл безопасности API 40 из 100.
Надо также иметь в виду необходимость подготовки API для агентного ИИ, где интеграторы больше не статичны, неизменны или управляются человеком, а скорее реагируют на ботов на основе задач, запущенных для достижения определенных целей. В настоящее время, когда краткосрочные интеграции становятся нормой, организации не могут позволить себе оставлять открытые конечные точки или заводить ситуацию с ними в тупик.
Независимо от того, собираетесь ли вы вложиться в ИИ в этом году или нет, очевидно, что вашей организации необходимо инвестировать в лучшую API-стратегию.
