De enorme groei aan het aantal API’s kan uit de hand lopen en een gevaar voor governance en gegevensbeveiliging worden, waarschuwt een nieuw rapport van F5. Volgens het rapport, “Continuous API Sprawl: Challenges and Opportunities in an API-Driven Economy”, zal de waarde van API’s in 2030 meer dan 1 miljard dollar bedragen en zijn er met name zorgen over het ontbreken van richtlijnen voor de ontwikkeling van API’s.
Uit het rapport blijkt dat er momenteel zo’n 200 miljoen API’s zijn, die onmisbaar zijn voor de interneteconomie en alles van digitale betalingen tot online-entertainmentdiensten en smart home-toepassingen mogelijk maken. Tegen 2030 zouden dat er 1,7 miljard kunnen zijn. Hoewel het onmogelijk is om het voortdurend veranderende API-landschap precies te kwantificeren, is er een analyse gemaakt op basis van het aantal softwareontwikkelaars en hun neiging om API’s te schrijven om een trendlijn uit te zetten.
Verontrustender dan het volume van deze groei is echter de richting ervan. Het rapport noemt dit de “API-wildgroei”: de snelle verspreiding van API’s zonder gemeenschappelijke normen, sterke governance of voldoende aandacht voor versiebeheer en beveiligingsbehoeften.
Deze wildgroei is het resultaat van trends in softwareontwikkeling, waaronder de toenemende toepassing van microservices-architectuur, de populariteit van continue softwareontwikkeling en de drang om legacy-apps te moderniseren. Dit draagt allemaal bij verschillende lagen van API’s, waarvan sommige gedupliceerd, andere slecht gedocumenteerd of onderhouden zijn.
Complexiteit
De organisatorische complexiteit maakt de verwarring alleen maar groter. De algemene voorkeur van ontwikkelaars om in silo’s te werken op basis van onafhankelijke best practices heeft ertoe geleid dat veel organisaties voor een hybride infrastructuurbenadering kiezen.
Uit F5’s 2021 State of Application Strategy Report blijkt dat 68 procent van de ondervraagde bedrijven in 2021 vier of vijf verschillende applicatiearchitecturen hanteert, tegen 41 procent in 2020. Dit draagt verder bij aan de versnippering en duplicatie van API’s, en de moeilijkheid om het nodige overzicht te bieden.
“Naarmate het aantal API’s toeneemt, komt het steeds vaker voor dat organisaties een punt bereiken waarop ze niet meer in staat zijn om deze effectief te beheren en te controleren”, zegt Pieter Slavenburg, directeur Benelux bij F5. “Dit is de zogenoemde API wildgroei, de situatie te veel API’s van te veel verschillende soorten op te veel verschillende locaties om grip op te krijgen.”
Operationele hindernissen en beveiligingsrisico’s
De API-wildgroei brengt een aantal operationele en beveiligingsuitdagingen met zich mee. Naarmate het aantal API’s en de complexiteit van apps toenemen, wordt het erg moeilijk om bij te houden waar API’s zich bevinden. Het kan lastig zijn om ze binnen en buiten de onderneming te ontdekken, en de end-to-end verbinding kan worden beïnvloed. Frequente updates van API’s leiden tot problemen met versiebeheer en documentatie.
Daarnaast heeft meer dan 90 procent van de ondernemingen het afgelopen jaar te maken gehad met een API-beveiligingsincident. API’s zijn niet alleen een bron van beveiligingsrisico’s, maar een van de belangrijkste risico’s binnen het gehele cloud-landschap; IBM heeft vastgesteld dat bij tweederde van de beveiligingsincidenten in de cloud het afgelopen jaar verkeerd geconfigureerde API-sleutels betrokken waren die onjuiste toegang mogelijk maakten.
De wildgroei aan banden
API’s zullen een kritieke infrastructuur blijven voor de digitale economie: een belangrijke motor voor innovatie en waardecreatie. De groei ervan vormt echter zowel een bedreiging als een kans en moet op een meer gecoördineerde manier worden beheerd om te voorkomen dat de opkomende problemen van vandaag uitgroeien tot systemische problemen op grote schaal.
“API-wildgroei is een onvermijdelijk onderdeel van de moderne softwarearchitectuur,” zegt Slavenburg. “We kunnen het niet voorkomen, dus moeten we manieren vinden om er op een praktische en schaalbare manier mee om te gaan. We moeten diensten ontwikkelingen die betrouwbaar inzicht geven over de mate van ondersteuning voor een API en de beveiliging ervan. Een inventaris is nodig van ongebruikte of niet ondersteunde API’s om die op te kunnen ruimen. Het is echter nu de tijd voor ondernemingen om in actie te komen voordat de wildgroei een schaal bereikt die het veel moeilijker maakt om het onder controle te krijgen. Om gezond te blijven en te gedijen in de API-gedreven economie, is het tijd voor organisaties om serieus te kijken naar het creëren, gebruiken en beheren van API’s op een verantwoorde manier.”
