什么是 API 治理？

API 治理设定为 API 管理提供信息的框架和策略。API 治理的目标是生成可发现、安全、可扩展和可重用的 API。简而言之，有效的 API 治理可以带来更高质量、更有价值的 API 和更好的用户体验。

API 治理促进组织 API 生态系统内的一致性，以确保 API 符合通用标准并与业务战略保持一致。这些标准和政策通过检查和验证来执行。例如，有效的治理有助于确保 API 包含内部和外部合作伙伴轻松使用它们所需的元数据。

许多组织都需要将传统系统与新系统相结合，正在经历数字化转型的组织尤其如此。通过为协议和语言等元素设定和应用标准，API 治理有助于确保 API 能够在不同的环境和系统中无缝运行。治理模型通常包含针对不同 API 协议或用例的一部分规则，使组织能够围绕特定的业务需求和计划定制治理。

API 治理还有助于减少冗余（当团队构建新服务而不是重用现有集成时），并防止组织开发或集成不需要的服务。这有助于降低与 API 管理相关的总体成本。治理还有助于减少 API 蔓延（即大量独立开发和管理的 API 分布在各个部门）以及 API 蔓延可能导致的不一致和安全漏洞。

API 治理非常重要，因为随着 IT 环境变得越来越复杂，并且组织更加依赖分布在各种环境中的微服务和应用程序（例如 SaaS 解决方案），它有助于确保 API 可用性和安全性。API 治理使组织能够安全地公开业务能力和功能，使其可供内部和外部客户使用。

对于大型企业来说尤其如此，其中许多企业使用数千个 API。¹有效的 API 治理可以确保组织的 API 计划高效、一致地运行，并与业务目标保持一致。例如，它使组织能够创建 API，用于将传统系统集成到复合服务中，并与云端托管的更加现代的应用程序和服务进行交互。

API 治理也很重要，因为它有助于减少冗余并降低 API 蔓延带来的风险。治理使利益相关者更容易了解已经存在哪些功能（及如何使用它们）以及可能需要开发哪些功能。API 治理政策有助于实现 API 设计和 API 开发的标准化，确保新开发的 API 与其他模块化 API 协同工作。治理还有助于确保 API 保持符合监管机构的要求，并保证组织制定和执行足够的安全措施。

API 治理对于追求 API 优先政策的组织尤为重要。在 API 优先政策中，API 被视为在开发过程中优先考虑的战略业务资产，而不是应用程序开发后才需要解决的问题。治理政策有助于确保所有 API 均为模块化且可互操作，并且添加到环境中的任何新 API 都能提供新的价值并按预期工作。

虽然这些术语是相关的，并且对 API 生命周期所有阶段的 API 运行状况至关重要，但它们是不同的概念。API 治理设定标准和最佳实践，为 API 管理提供策略和框架。API 管理是指在整个 API 产品组合中实施 API 治理原则，从而集中进行控制和分析。有效的 API 管理确保组织遵循安全策略和协议，例如使用 OAuth 和加密。

API 管理可以确保整个 API 环境的一致性和控制。它对于确保 API 质量和帮助组织释放 API 的全部潜力至关重要。API 管理平台可以集中进行控制，并使用一套工具来优化部署、文档记录和团队之间的信息共享。

管理平台通常包括 API 网关、开发者门户、API 文档、API 目录、分析工具和 API 生命周期管理组件。API 管理平台使组织能够快速创建、共享、监控和调整 API，提高生命周期可观察性，扩大 API 的覆盖范围，更好地利用 API 盈利等。

API 安全是指保护组织的 API 免受恶意行为者、滥用和 网络安全威胁的政策和程序。API 治理策略中确立的原则指导 API 安全策略。

例如，安全策略可能规定 API 网关始终用于后端服务和前端应用程序的解耦，以帮助阻止 SQL 注入攻击。策略可能要求在所有情况下都使用标准身份验证方法，或者为不同类型的数据定义不同的方法。

有效的 API 治理涵盖 API 管理和 API 安全，并塑造企业处理 API 的方式。API 治理定义帮助组织高效使用 API 的策略，其中包括确定如何管理 API 并保护它们免受网络安全威胁。

要创建清晰、一致的 API 标准，需要全面了解组织的整个 API 环境。使用的 API 越多，这项工作就越复杂。为确保政策的有效性，组织力求在治理设计中遵循某些最佳实践，包括：

采用 API 治理的主要原因之一是确保组织使用的无数 API 的高质量、简化和标准化。这可能包括采用 OpenAPI 规范 (OAS) 等编码标准，它为 REST API 定义了标准格式。此类标准的实施还可以提高 API 可扩展性。

确保 API 的元数据字段一致，以保证所有 API 都易于发现和重用，这也很重要。组织必须将这些策略和程序存储在一个可访问的集中位置，以便组织内需要访问它们的每个人都可以访问。这些标准应在整个企业范围内使用，以确保所有 API 在整个 API 生命周期中都遵循相同模型。

如果有人必须手动检查每一个 API，那么检查 API 是否始终遵守治理准则将是一项艰巨任务。自助式治理工具和 API 管理应用程序可以跨环境验证和实施组织的治理政策，而自动化可以提高流程的可靠性和效率。

通过在 API 审查流程中构建自动化治理检查（例如，确保开发人员使用通用数据模型），组织可以确保 API 从开发到部署和使用都遵守相关准则。自动化不一定能取代人工审查，两者结合使用最有效，但自动化有助于消除检查流程中的错误，提高交付速度，并提高治理政策的效率。

组织通常会测试、修改、扩展和重新部署 API，以提高效率，或随着业务的变化和扩展而优化工作流。为确保 API 的所有版本都符合治理政策，并跟踪版本之间的更改，API 版本控制必须严格且一致。

确保 API 迭代透明且清楚地划分与早期版本兼容或不兼容的变化，有助于节省时间和资金，并减少麻烦。遵循主要版本、次要版本和补丁版本被视为最佳实践。²

如果治理结构过于僵化，以至于阻止组织使用本应从中受益的 API，或者如果它们显著减慢开发速度，那么这些治理结构就没有用。在某些情况下，针对一个用例编写的治理规则可能并不适合另一个用例。例如，在内部开发者门户中使用的 API 可能需要与用于公共市场的协议不同的协议。

对于不同的业务部门来说也是如此。一个组织的不同部门可能会以不同方式使用相同的 API。例如，一个团队可能需要定制的错误代码，在触发某些对于其他团队来说不相关或不必要的条件时使用。治理政策应足够灵活，以允许此类例外情况，不应妨碍 开发运维 (DevOps) 和其他敏捷方法。

要使 API 治理政策按预期运行，组织必须授权 DevOps 团队和其他利益相关者在没有外部干预的情况下实施这些政策。执行治理政策可能包括培训、创建新的 API 工具以简化治理，以及尽可能使有关治理政策的信息易于获取。在 API 优先的环境中，这种可发现性尤为重要。

随着组织在数字化转型中取得进展，他们可能会使用更多的 API。管理具有许多依赖项的复杂 API 组合可能会增加创建总体 API 治理政策的复杂性，同时又不抑制创造力和开发能力。实现部分治理流程自动化（例如 API 部署和监控、检查和验证）有助于简化 API 治理的这一方面。随着 API 环境变得越来越复杂，自动化还可以帮助促进企业治理政策和策略的一致性。

API 治理中的另一个主要挑战是创建保护企业 API 的安全策略。API 安全漏洞可能导致间接数据泄露和其他事件，从而使企业和客户面临风险。在 API 治理中构建强大的安全策略，并实施自动检查以确保遵循策略，可以帮助保护敏感数据并保持系统平稳运行。

不良的 API 治理政策也可能阻碍开发，因为它们会在开发过程中引入更多步骤。通过确保在 API 生命周期的所有阶段执行治理政策和检查，组织可以防止偶尔进行合规检查或仅在部署前进行合规检查时产生瓶颈。

制定治理政策时考虑灵活性和授权也有助于缓解这一挑战，同时治理领导者应认识到，如果治理政策没有按预期发挥作用，则应审查、测试和改变治理政策。

API 治理建立最佳实践和标准，可以帮助组织构建推动创新和增长的 API 环境。正确实施政策可以创建一个一致、安全的环境，使组织能够集成旧版系统和数据库以及构建新的组合服务。

此外，API 治理可以：