Informazioni sui cookie del presente sito Per il corretto funzionamento, i nostri siti Web richiedono alcuni cookie (richiesto). Inoltre, con il suo consenso, potrebbero essere utilizzati altri cookie per l'analisi dell'utilizzo del sito, per migliorare l'esperienza utente e per scopi pubblicitari. Per ulteriori informazioni, consultare le. Visitando il nostro sito web, accettate il trattamento delle informazioni da parte nostra come descritto nelladichiarazione sulla privacy di IBM. Per consentire una corretta navigazione, le preferenze per i cookie dell'utente verranno condivise sui domini Web IBM qui elencati.
Cos'è la governance delle API?
Data di pubblicazione: 24 maggio 2024
Autori: Gita Jackson, Michael Goodwin
La governance delle API si riferisce all'insieme di standard, policy e prassi che regolano il modo in cui un'organizzazione sviluppa, implementa e utilizza le proprie API (interfacce di programmazione delle applicazioni).
La governance delle API definisce il quadro di riferimento e la strategia che informano le operazioni di gestione delle API. L'obiettivo della governance delle API è quello di generare API individuabili, sicure, scalabili e riutilizzabili. In breve, una governance efficace produce API di qualità superiore e di maggior valore, oltre ad una migliore esperienza utente.
La governance delle API favorisce l'uniformità all'interno dell'ecosistema API di un'organizzazione, assicurando che le API aderiscano a uno standard comune e siano allineate alla strategia aziendale. Questi standard e queste policy vengono applicati mediante un sistema di controlli e di convalide. Ad esempio, una governance efficace aiuta a garantire che le API contengano i metadati necessari ai partner interni ed esterni per utilizzarle agevolmente.
Molte organizzazioni, in particolare quelle in fase di trasformazione digitale, si trovano a dover integrare i sistemi legacy con quelli più recenti. Impostando e applicando degli standard per elementi come protocolli e linguaggi, la governance delle API contribuisce a garantire che le API possano funzionare senza problemi in diversi ambienti e sistemi. I modelli di governance sono spesso muniti di sottoinsiemi di regole per diversi protocolli o casi d'uso delle API, che consentono a un'organizzazione di personalizzare la governance in base a specifiche esigenze e iniziative aziendali.
La governance delle API aiuta anche a ridurre la ridondanza (quando i team creano nuovi servizi invece di riutilizzare le integrazioni esistenti) e impedisce a un'organizzazione di sviluppare o integrare servizi di cui non ha bisogno. Questo aiuta a ridurre i costi complessivi associati alla gestione. La governance aiuta anche a ridurre la proliferazione incontrollata delle API (ovvero quando numerose API, sviluppate e gestite in modo indipendente, sono distribuite tra molteplici funzioni) e le disomogeneità e le vulnerabilità di sicurezza che questo fenomeno può causare.
Scopri le principali sfide nella gestione delle API e comprendi le funzionalità chiave di una soluzione efficace di gestione delle API.
La governance delle API è importante perché contribuisce a garantire la disponibilità e la sicurezza delle API man mano che gli ambienti IT diventano più complessi e le organizzazioni si affidano sempre più a microservizi e ad applicazioni (come le soluzioni SaaS ) distribuite in diversi ambienti. La governance delle API consente a un'organizzazione di esporre in modo sicuro le capacità e le funzioni aziendali, rendendole disponibili per il consumo da parte di clienti interni ed esterni.
Ciò è particolarmente vero per le grandi imprese, molte delle quali utilizzano migliaia di API.1 Una governance efficace delle API garantisce che il piano API di un'organizzazione funzioni in modo efficiente e coeso e sia in linea con gli obiettivi aziendali. Ad esempio, consente a un'organizzazione di creare API che possono essere utilizzate per integrare sistemi legacy in servizi compositi e interagire con applicazioni e servizi più moderni ospitati nel cloud.
La governance delle API è importante anche perché aiuta a ridurre la ridondanza e a mitigare i rischi che accompagnano la proliferazione delle API. La governance rende più facile per le parti interessate sapere quali capacità esistono già (e come utilizzarle) e quali funzioni potrebbero dover essere sviluppate. Le policy di governance delle API aiutano a standardizzare la progettazione e lo sviluppo delle API, garantendo che le quelle appena sviluppate funzionino di concerto con altre API modulari. La governance aiuta anche a garantire che le API rimangano conformi agli organismi di regolamentazione e che le organizzazioni adottino e applichino misure di sicurezza adeguate.
La governance delle API è particolarmente importante per le organizzazioni che perseguono una strategia API-first. In questo tipo di strategia, le API sono trattate come risorse aziendali strategiche a cui viene data priorità durante il processo di sviluppo, piuttosto che come qualcosa da gestire successivamente allo sviluppo dell'applicazione. I criteri di governance possono contribuire a garantire che tutte le API siano modulari e interoperabili, e che tutte le nuove API aggiunte all'ambiente offrano nuovo valore e operino come previsto.
Governance delle API, gestione delle API e sicurezza delle API
Sebbene questi termini siano correlati ed essenziali per la salute di un'API in tutte le fasi del suo ciclo di vita, si tratta di concetti distinti. La governance delle API stabilisce gli standard e le best practice che forniscono una strategia e un quadro di gestione delle API. La gestione delle API, invece, consiste nell'implementazione dei principi di governance in tutto il portafoglio delle API, mediante la centralizzazione delle attività di controllo e di analisi. Una gestione efficace delle API garantisce che l'organizzazione segua politiche e protocolli di sicurezza, come l'uso di OAuth e della crittografia.
Gestione delle API
La gestione delle API garantisce uniformità e controllo lungo l'intero ambiente API. È fondamentale per garantire la qualità delle API, e aiutare le organizzazioni a ricavare da esse il loro pieno potenziale. Una piattaforma di gestione delle API centralizza le attività di controllo e utilizza una serie di strumenti volti a ottimizzare l'implementazione, la documentazione e la condivisione delle informazioni tra i vari team.
Le piattaforme di gestione spesso includono un gateway API, un portale per sviluppatori, la documentazione delle API, un catalogo API, strumenti di analisi e un componente di gestione del ciclo di vita delle API. Le piattaforme di gestione consentono alle organizzazioni di creare, condividere, monitorare e modificare rapidamente le API, ottenere una maggiore osservabilità del loro ciclo di vita, espanderne la portata, monetizzarle meglio e così via.
API security
Per sicurezza delle API si intendono le policy e le procedure che proteggono le API di un'organizzazione da attori malintenzionati, usi impropri e minacce alla sicurezza informatica. I principi stabiliti in una strategia di governance delle API sono alla base delle policy di sicurezza delle API.
Ad esempio, le politiche di sicurezza possono imporre che venga sempre utilizzato un gateway API per disgiungere i servizi di back-end dalle applicazioni front-end, in modo da bloccare gli attacchi di SQL injection. La policy potrebbe richiedere l'utilizzo di un metodo di autenticazione standard in tutti i casi, oppure definire metodi diversi per diversi tipi di dati.
Una governance efficace delle API comprende, e dà forma, al modo in cui un'azienda si approccia sia alla gestione che alla sicurezza delle API. La governance definisce le policy che aiutano un'organizzazione a utilizzare le proprie API in modo efficiente, e questo comprende la determinazione di come gestire le API e tenerle al sicuro dalle minacce alla sicurezza informatica.
Le best practice nell'ambito della governance delle API
Per poter istituire standard chiari e omogenei per le API è imprescindibile acquisire una visione quanto più esaustiva del panorama API della propria azienda. Questa attività diventa più complessa proporzionalmente al numero di API utilizzate. Per poter assicurare che le policy siano efficaci, le organizzazioni si pongono l'obiettivo di seguire determinate best practice nella progettazione della governance, tra cuoi:
Uno dei motivi principali per l'impiego della governance delle API è assicurarsi che la miriade di API usate da un'azienda sia di alta qualità, standardizzata e ben organizzata. Per poter raggiungere questo obiettivo, è possibile adottare uno standard di codifica come OpenAPI Specification (OAS), che definisce un formato standard per le API REST. L'implementazione di standard di questo tipo può inoltre migliorare la scalabilità delle API.
È inoltre importante rendere omogenei i campi dei metadati, per fare in modo che tutte le API siano facilmente individuabili e riutilizzabili. Le organizzazioni devono archiviare queste policy e procedure in una posizione centralizzata e accessibile, in modo che tutti gli utenti che devono accedervi possano farlo agevolmente. Questi standard devono essere utilizzati in tutta l'azienda per avere la garanzia che ogni API segua il medesimo modello lungo l'intero ciclo di vita.
Verificare che le API aderiscano sempre alle linee guida di governance sarebbe un compito arduo, se qualcuno dovesse controllarle tutte a mano. Gli strumenti self-service di governance e le applicazioni di gestione delle API possono convalidare e applicare le policy di governance di un'organizzazione in tutti gli ambienti, e l'automazione può rendere il processo molto più affidabile ed efficiente.
Inserendo controlli di governance automatizzati nei processi di revisione delle API, ad esempio assicurando che gli sviluppatori utilizzino un modello di dati comune, le organizzazioni possono assicurarsi che le API aderiscano alle linee guida dalla fase sviluppo fino alla loro distribuzione e all'utilizzo. L'automazione non sostituisce necessariamente le revisioni manuali, in quanto l'efficacia massima si ottiene con l'uso di ambedue, ma aiuta a eliminare gli errori dal processo di ispezione, ad aumentare la velocità di consegna e a rendere più efficienti le policy di governance.
Le organizzazioni spesso testano, modificano, ampliano e ridistribuiscono le API per renderle più efficienti o per ottimizzare i flussi di lavoro man mano che l'azienda si evolve e si ingrandisce. Per assicurare che le API siano conformi ai criteri di governance in tutte le versioni e per tenere traccia delle modifiche tra le diverse versioni, il controllo delle versioni delle API deve essere rigoroso e coerente.
Assicurarsi che le iterazioni delle API siano trasparenti e distinguano chiaramente le modifiche che sono o non sono compatibili con una versione precedente aiuta a risparmiare tempo, denaro e grattacapi. In questo ambito, è opportuno modificare le versioni dell'API dopo ogni modifica, grande o piccola, e dopo il rilascio di patch..2
Le strutture di governance non sono utili se sono così rigide da impedire a un'organizzazione di utilizzare le API da cui altrimenti trarrebbe vantaggio, o se rallentano significativamente la velocità di sviluppo. In alcuni casi, le regole di governance scritte pensando a un determinato caso d'uso potrebbero non essere appropriate per un altro. Ad esempio, un'API utilizzata in un portale interno per gli sviluppatori potrebbe richiedere protocolli diversi rispetto ad una destinata ad un marketplace pubblico.
Lo stesso principio vale per linee di business differenti, in quanto funzioni diverse di un'organizzazione potrebbero utilizzare le medesime API in modi diversi. Ad esempio, un team potrebbe aver bisogno di un codice di errore personalizzato quando vengono attivate determinate condizioni che non sono rilevanti o necessarie per altri team. Le politiche di governance devono essere sufficientemente flessibili da consentire tali eccezioni, e senza intralciare il DevOps e altre metodologie agili.
Affinché le policy di governance delle API funzionino come previsto, le organizzazioni devono consentire ai team DevOps e agli altri stakeholder di implementarle senza interventi esterni. L'applicazione delle politiche di governance potrebbe comportare l'implementazione di programmi di formazione, la creazione di nuovi strumenti API per semplificare la governance, e rendere le informazioni sulle politiche di governance quanto più accessibili possibile. In un ambiente API-first, questo livello di rilevabilità è particolarmente importante.
Man mano che le organizzazioni progrediscono lungo il percorso della trasformazione digitale, è probabile che facciano un uso sempre più massiccio di API. La gestione di un portafoglio complesso di API, dotato di numerose dipendenze, può rendere difficile la generazione di policy generali di governance delle API senza soffocare la creatività e lo sviluppo. L'automazione di parti del processo di governance, come l'implementazione e il monitoraggio delle API, i controlli e la convalida, può aiutare a semplificare questo particolare aspetto. Parallelamente all'aumento di complessità dell'ambiente delle API, l'automazione può inoltre contribuire a favorire l'allineamento tra le policy e la strategia di governance di un'azienda.
Un'altra sfida primaria nell'ambito di governance delle API è costituito dalla creazione di policy di sicurezza capaci di tutelare le API di un'azienda. Le violazioni di sicurezza, infatti, possono dare corso a fughe di dati e ad altre occorrenze che possono potenzialmente mettere a repentaglio sia i clienti che l'azienda stessa. L'implementazione di policy di sicurezza efficaci nella governance delle API, e l'istituzione di controlli automatici volti a garantirne l'osservanza contribuisce a proteggere i dati sensibili e a mantenere i sistemi attivi e funzionanti.
L'adozione di policy di governance delle API inadeguate rappresenta un ostacolo allo sviluppo, poiché rischiano di introdurre ulteriori passaggi nel processo di sviluppo. Assicurandosi che le policy e i controlli di governance vengano eseguiti in tutte le fasi del ciclo di vita di un'API, un'organizzazione può prevenire le strozzature che si vengono a creare quando i controlli di conformità vengono eseguiti sporadicamente o solo prima della distribuzione.
La redazione di policy di governance flessibili ed efficaci contribuisce ad alleviare questa criticità, unitamente alla consapevolezza che chi detiene la responsabilità in fatto di governance sia tenuto a rivedere, testare e modificare le policy qualora esse non funzionino come previsto.
La governance delle API stabilisce le best practice e gli standard che aiutano le organizzazioni a creare ambienti atti a favorire l'innovazione e la crescita. Quando le policy vengono implementate nel modo corretto, esse creano un ambiente omogeneo e sicuro che consente a un'organizzazione di integrare sistemi e database legacy e di creare nuovi servizi compositi.
Inoltre, la governance delle API può:
La governance garantisce che le API siano costruite secondo uno standard uniforme. La standardizzazione facilita l'integrazione dei flussi di lavoro, promuove il riutilizzo delle API, velocizza lo sviluppo di nuovi servizi, promuove la conformità delle API, la loro monetizzazione etc. In generale, aiuta sia i clienti interni che quelli esterni a ricavare la massima utilità dalle API utilizzate.
La governance delle API aiuta un'organizzazione a integrare i sistemi esistenti e a creare nuovi flussi di lavoro atti a semplificare i processi aziendali, sfruttano volumi di dati in continua crescita e permettono ai team di essere meglio attrezzati e più produttivi. Se implementata correttamente, la governance è in grado di facilitare lo sviluppo di nuove API e servizi e rendere quelli esistenti più individuabili, piuttosto che rallentare l'innovazione. Queste funzioni integrate aiutano i team a essere più produttivi.
La diffusione delle API in funzioni e architetture aziendali diverse e l'assenza di una piattaforma API con funzioni di accentramento e controllo può creare incongruenze e vulnerabilità di sicurezza. Una buona governance aiuta a tenere sotto controllo il fenomeno della proliferazione incontrollata delle API.
La ridondanza si verifica quando i team creano nuovi servizi invece di sfruttare i servizi e le integrazioni esistenti. La governance delle API aiuta a eliminare complessità non necessarie, e garantisce che gli sforzi degli sviluppatori siano concentrati su progetti capaci di generare nuovo valore.
La governance che delinea i protocolli e le policy di sicurezza aiuta un'organizzazione a proteggere le proprie API, che sono un vettore di attacco comune utilizzato dagli hacker e da altre minacce alla sicurezza informatica.
Ad esempio, un controllo delle versioni e un processo documentale rigorosi possono impedire che sia accidentalmente distribuita la versione obsoleta di una data API. Le policy di governance possono anche definire l'autenticazione, l'autorizzazione e il controllo degli accessi delle API, per assicurare che solo le parti debitamente autorizzate abbiano facoltà di accedere a un'API.
Poiché le minacce alla cybersecurity sono in continua evoluzione, si ritiene una best practice la revisione e l'aggiornamento regolari dei protocolli di sicurezza, in modo tale da rispecchiare il panorama delle minacce più recente.
Soluzioni correlate
L'interfaccia utente del gestore API in IBM API Connect aiuta a organizzare, pubblicare e analizzare qualsiasi API durante tutto il suo ciclo di vita. Essa offre funzionalità di governance e di controllo delle versioni, oltre a un controllo completo sulla visibilità dei consumatori, sia interni che esterni.
IBM API Connect è una soluzione completa di gestione delle API lungo tutto il loro ciclo di vita che utilizza un'esperienza intuitiva per aiutare a creare, gestire, proteggere, condividere sui social e monetizzare le API in modo coerente, promuovendo la trasformazione digitale on-premise e tra cloud. Così tu e i tuoi clienti potrete potenziare le app digitali e stimolare l'innovazione in tempo reale.
L'iPaaS (Integration Platform as a Service) di IBM offre un approccio intuitivo e modulare per integrare e collegare perfettamente tutte le applicazioni e i dati, indipendentemente dalla loro posizione. Con strumenti flessibili per l'integrazione delle applicazioni, l'integrazione dei dati, l'integrazione B2B e l'automazione dei processi, le organizzazioni possono accelerare il time-to-value con connettori e modelli pronti all'uso, acquisendo la flessibilità necessaria per supportare l'intero spettro delle esigenze di app e dati, e non solo.
Connetti, automatizza e libera il potenziale di business con il software della piattaforma di integrazione. Con le soluzioni di integrazione di IBM, puoi collegare applicazioni e sistemi per sbloccare rapidamente e in modo sicuro i dati critici.
Risorse
Un’API REST (chiamata anche API RESTful o API Web RESTful) è una interfaccia di programmazione delle applicazioni (API) conforme ai principi di progettazione di stile architetturale REST (representational state transfer).
Accedi ad una panoramica tecnica di IBM API Connect, le sue fasi del ciclo di vita delle API e i suoi principali componenti di prodotto.
Gartner nomina IBM leader nel Gartner® Magic Quadrant for Full Lifecycle API Management 2023 per l’ottava volta consecutiva.
Gartner nomina IBM "Leader" nel report Gartner Critical Capabilities for API Management 2023.
Note a piè di pagina
1 “The 2022 API Security Trends Report” (collegamento esterno a ibm.com), 451 Research, nonamesecurity.com, 2022.
2 “Versioning of APIs” (collegamento esterno a ibm.com), International Image Interoperability Framework.
