北欧 API 平台峰会的一些关键要点。
译自 The Future of APIs: Lessons in Security, Composability, AI,作者 Kenn Hussey。
API 经济 已经到来,随之而来的是随之而来的挑战。API 现在无处不在,嵌入到所有事物中,例如移动应用程序和物联网设备,人们对它们可以做的事情的期望也越来越高。然而,旨在控制这种混乱的工具和平台往往达不到预期。
我有幸参加了本月早些时候在瑞典斯德哥尔摩举行的 Nordic APIs Platform Summit,很明显,虽然 API 的好处是不可否认的,但随之而来的痛苦也是非常真实的。我想分享一些我的主要收获,希望我们共同的关注能够带来解决方案。
现在,我来自一家科技初创公司的工程副总裁的视角,我们新的重点主要放在 API 世界的开发方面。但在我在会议期间,很明显,该行业充斥着“一刀切”的单体 API 管理解决方案的承诺。在过去两年中,许多人将他们的产品推销为“海洋锅炉*”,*声称要解决所有问题。
你可能猜到接下来会发生什么,因为我们都知道海洋无法沸腾。由此产生的承诺与实际交付之间的紧张局势是显而易见的。开发人员越来越直言不讳地谈论这些承诺与现实之间的差距。但这并不意味着我们应该抛弃所有这些努力;我们需要的是思维方式的转变。我们正处于一个新边界的边缘,这个边界需要不同的东西,需要细致入微的东西。
这种新的思维方式,在 Platform Summit 上得到了体现,是朝着 APIOps 和利用可组合平台的方向发展,这些平台并不旨在做所有事情。相反,这些平台应该专注于正确地完成关键的事情。
从专门工具到单体工具的转变似乎每隔几年就会发生一次,但这一次它带有以开发人员为中心的转变。公司可以选择(即开发人员可以采用)针对关键功能的最佳工具,这些工具具有灵活性和可组合性,可以集成到最佳平台体验中,提供当今企业所需的流程和可见性,而无需进行采用斗争。这需要一种更加以开发人员为中心的API 开发和平台战略方法。
开发人员平台是平台工程范式的支柱,它们不仅仅是提供工具和服务;它们是关于激励和授权开发人员产出最佳作品。
这让我想到我在会议上的下一个收获。在 API 在各个角落激增的混乱中,有一点是明确的:开发人员体验 (DX) 仍然很重要。这个领域中最好的工具不仅仅是关于炫酷的功能。它们是关于让开发人员能够完成他们想要和需要完成的工作,而不会减慢流程。这种对良好体验的需求并没有被开发人员忽视。
为了将这一点具体化——从第一天起,就需要将 API 版本控制和生命周期管理融入其中,而不是在后期添加。彻底测试和安全的持续实践必须简单易行,而不是繁琐或令人困惑。文档,通常被忽视,需要从一开始就成为一等公民。
开发人员希望能够简化他们日常挑战的解决方案,而不是使它们复杂化。最好的工具是那些帮助开发人员更容易、更快地迭代他们的开发循环,而不会侮辱他们的智力(当你想到这一点时,这确实是一门艺术). 结论很简单:真正实现 DX 的工具将赢得胜利。
图片 1
开发人员体验的核心是内循环和外循环。内循环是指开发人员在本地工作时执行的活动周期,例如开发功能或修复错误。相比之下,外循环涵盖了更广泛的开发生命周期。提高开发人员速度的关键在于优化他们的开发循环。
我们必须找到方法来最大限度地减少开发工作流程中各个步骤带来的“税收”,尤其是在当今的微服务和云原生环境中,这变得更加复杂。平台方法和开发人员体验的正确组合可以做到这一点。
在大会上提到的提供更好开发人员体验解决方案的一些工具包括:
- 像Specmatic这样的工具提供了一种在设计时测试一致性、兼容性和漂移的方法,从而尽早解决问题。
- 像TypeSpec这样的语言将 API 文档提升为一等公民,使开发人员更容易保持一致性和清晰度。
- 当然,我不能不提像Blackbird这样的工具,它在优化内循环和外循环方面非常宝贵。这些只是提供我之前提到的可组合性并适合您现有工作流程而不是强迫您适应其工作流程的少数几个工具。
虽然挑战很大,但如果您在正确的地方寻找,仍然有机会快速获胜。在听完所有会议后,很明显,良好的安全实践在 API 生命周期中的任何阶段都脱颖而出,成为最容易改进的机会。经过验证的避免常见身份验证和授权陷阱的模式可以大大降低安全风险。此外,定期执行漏洞评估并将敏感数据在传输中和静止状态下进行加密可以进一步保护 API 免受潜在攻击。
当然,我们不能忘记流行的零信任方法,该方法植根于将用户、系统和网络流量视为根本不可信的原则,即使它们位于防火墙建立的安全边界内。或者,许多人正在寻求将安全左移,以确保它在 SDLC 的早期阶段成为优先事项。
无论您采取什么措施来确保安全成为优先事项,做好安全工作是开发人员可以抓住的最容易实现的目标之一,而我们中的许多人仍然没有做到。随着违规事件和攻击者的增加(根据 Salt Security 的数据,过去六个月增加了 400%),我们再也不能忽视加强安全措施了。
不出所料,人工智能是峰会上每个房间里的大象,就像过去一年中每个会议、小组讨论和文章主题一样。尽管行业一直在谈论 API,但人工智能正在影响一切,从我们构建 API 的方式到消费者与 API 的交互方式。API 设计人员面临的挑战不仅仅是如何使用人工智能,还包括如何创建能够适应其他人如何在系统中使用人工智能的 API 和平台。
当然,随着更多 API 带来更多扩展和更多漂移,这些因素极大地扩展了安全攻击的表面。随着开发人员和企业都在努力应对这种不断扩大的复杂性,谁和什么值得信任的问题变得更加紧迫。不幸的是,答案很简单:没有人和任何东西。零信任架构和严格的验证实践变得越来越重要。
好消息是,解决这种扩展问题的解决方案越来越多。无论您将其称为“治理”、“标准化”还是“拥有平台策略”,随着 API 的激增以及我们对可组合、灵活的微服务架构的需求不断增长,这些解决方案对 API 经济体只会变得更加重要。
最终,这是一个与峰会上其他志同道合的 API 同事和技术领导者建立联系的绝佳机会。只要你拥有合适的 工具、方法 和 思维方式,新的前沿将充满希望。