博客 | 首席技术官办公室

颠覆 API 是企业参与 API 经济并参与竞争所需的数字化转型

Rajesh Narayanan 缩略图
拉杰什·纳拉亚南
2022 年 10 月 18 日发布


动机、挑战和机遇

application程序编程接口(API)以及随后的 API 经济正在迅速成为数字化转型的推动因素。 虽然大多数公司都了解 API 的机制,但很少有公司将其作为增加自身商业价值的手段。 API 经济是指随着越来越多的企业通过 API 将其服务外部化,将推动数字经济的所有商业模式、实践和资产。 本质上,API 经济是使企业能够安全地公开其服务和数据,从而为企业创造价值。

所有企业都持有数据并提供相关服务,这些数据本身具有价值,但通常仅在组织内部可用。 但为了参与 API 经济并有效竞争,企业还必须考虑通过颠覆其中一些 API 来彻底改变自己。 在《API 如何通过颠覆公司来促进增长》的报告中,Benzell 等人描述了公开私有 API 如何增加组织的价值。 我们将这个短语扩展为“反转 API”,即企业通过将私有 API 作为合作伙伴公共 API提供来将其外部化的过程。

快速回顾 API

API 使开发人员能够轻松、灵活地构建applications和产品。 它们促进来自企业不同部分的软件的快速集成,并与通过合作伙伴 API 或公共 API 提供的服务进行交互。

API 还可以通过允许数据访问和共享功能交换来实现企业之间新服务的集成。 正是在这种数据访问方式中,API 提供了最具吸引力的机会,同时也带来了最大的挑战和风险。 API 允许用户以安全的方式访问来自不同服务的数据,而无需经过每个单独的服务提供商的安全措施。 但是 API 设计不当可能会导致组织无意中泄露数据,从而引发当今行业中面临的诸多挑战

根据 Postman 的《2022 年 API 状况》报告,“与内部系统集成”是组织决定使用 API 的首要原因,这为企业参与数字经济提供了最简单的方式。 这很重要,因为当企业为 API 优先策略选择技术时,集成工具就成为关键点。

商业动机

为更大的生态系统提供私有 API 的最经典示例是 Amazon Web Services (AWS)。 亚马逊看到了一个机会,让客户能够以自助、按需的方式使用亚马逊自己的计算基础设施。 这对他们来说并不新鲜,因为他们已经为内部开发人员提供了所有自助服务和自动化工具。 这是亚马逊推动业务增长的机会,并导致了我们今天所知的云计算的诞生。 尽管怀疑论者认为企业永远不会采用云计算,但自云计算推出以来的 15 年里,云计算已成为一个价值约 1 万亿美元的产业,亚马逊的估值在十年内增长了 10 倍以上,这主要归功于 AWS 的成功。 这刺激了新垂直行业的创建。

但企业尚未认识到 API 增加商业价值的全部潜力。 尽管可能有几个原因让人忽视增加回报的前景,但令人信服的动机是网络安全。 由于保护组织资产是 IT 的最高优先事项,大多数组织引入了繁重的最佳实践和工作流程,从而限制了业务敏捷性并最终限制了利润。 但安全的目标应该是释放企业的潜在价值而不是限制它。

符合反转条件的 API

“反转 API”不仅仅是一个让组织外的其他人可以使用的技术问题。 API 暴露(GRAPE)的粒度导致企业争论是否可以安全地反转 API。 在“葡萄测试”中,企业需要确定他们是否无意中暴露了可能被视为竞争的数据,或者可能违反治理、风险和合规性 (GRC) 的数据,以及从安全角度来看 API 的架构如何。 本质上,企业并不想留下任何“葡萄”供人采摘。

一旦 API 通过此审核,是否通过合作伙伴公共API 提供数据仍然是一个业务决策,而 IT 组织的目标应该是向企业提供以安全的方式执行此操作的工具。 我们需要让开发人员尽可能细致地公开通常集中于企业内部的各种服务,从而创造更多价值。 这些 API 可以通过“友好”的外部客户和合作伙伴进行测试,但如今这个过程非常繁重,大多数企业都拒绝采用这种方式。 解决方案是让 GRC 和安全团队提供护栏,防止任何不良事件发生,同时仍保持自主性。

挑战——主要是技术方面的

那么,我们接下来该去哪儿呢? 假设人们理解了反转 API 的商业价值并通过了葡萄测试,那么未来仍然存在技术挑战。

  • 安全性决定一切——GRC 和安全性是有益的,因为 API 存在阴暗的一面。 黑客搜索可用于攻击的 API。 恶意行为者动机强烈且坚持不懈,采用多种技术并不断改进以规避 API 的安全性。 缺乏适当安全最佳实践的企业将很难公开其私有 API。

  • 发现和审计 API — 清理企业中丢失、孤立或不安全的 API 是一个难题。 开发人员离开他们的团队或组织,而没有清理他们正在开发和测试的服务。 即使是训练有素的软件团队也会犯错误,让服务在开发、测试和终止阶段之后继续运行。 API 的另一个问题是,当新开发人员不了解所返回数据的全部潜力时,文档就会出现。 这又一次指向了安全问题。

  • 连接性——即使企业有充分的动机利用其私有 API 来服务外部客户或合作伙伴,在企业中连接三层防火墙后面的 API 也是一项艰巨的任务。 虽然业务部门可能需要花费数月时间来验证和证明投资回报率 (ROI) 以使其切实可行,但不能仅仅采用内部 API 并将其公开;连接也是一个过程。 因此,敏捷性受到影响,开发人员无法快速创新。

最终,我们必须认识到,在不受信任的环境中实现业务敏捷性是极其困难的。 IT 流程由不同的安全问题来告知、定义和指示。 它们的存在是有目的的并且无法被规避。

机会——企业就是平台

一旦企业开始思考如何在 API 经济中竞争,颠覆其 API 的需求就成为自然而然的决定。 下一个合乎逻辑的步骤是将他们的整个业务想象成一个平台,并设想实现该目标的方法。

Gartner 副总裁兼杰出分析师 Kristin R. Moyer 表示:“API 经济是将企业或组织转变为平台的推动因素。 平台可以成倍增加价值创造,因为它们使企业内外的商业生态系统能够完善用户之间的匹配,并促进商品、服务和社会货币的创造和/或交换,以便所有参与者都能获取价值。” Mulesoft

带领公司经历这一旅程并非没有挑战,这就是供应商与 IT 组织共同承担责任的地方。 企业需要了解其内部资产的哪些方面能够或将会使更大的社区受益并扩大其价值。 供应商生态系统必须提供工具和技术,帮助企业安全地反转 API 并释放企业作为平台的价值。