AI Gateway не решит всех проблем API-интерфейсов разработчиков, заявил Джейсон Эмке аудитории на Kong API Summit 2025 в Нью-Йорке.
«Сейчас это действительно Дикий Запад API», — сказал аудитории 15 октября технический директор и соучредитель DevGrid во время своей презентации «Создание лучшей в своем классе стратегии API». DevGrid — это платформа для инженерных операций, которая обеспечивает видимость команд разработчиков программного обеспечения и технологических стеков.
Хотя шлюзы искусственного интеллекта являются ключевой частью стратегии управления API, одних их недостаточно, утверждает он.
«Вы не знаете, кто в этом участвует или нет», — сказал Эмке. «У вас там принудительно включена аутентификация, но вы соглашаетесь. Это не обязательно. Это ваше ограничение скорости, но вы не знаете, для чего вы ограничиваете скорость?»
Как и ожидалось, это приводит к проблемам. Эмке поделился некоторыми статистическими данными:
- По данным Salt Security, 15% опрошенных специалистов в области ИТ и безопасности были уверены в своем инвентаре API.
- Согласно другому отчету Salt Security, более 50% отложили выпуски API безопасности.
- Согласно исследованию безопасности API, проведенному Akamai Security в 2024 году, в 84% случаев произошел инцидент, связанный с безопасностью API.
«У большинства людей случаются инциденты с безопасностью API или задержки с выпуском API безопасности — это вещь. Вы не одиноки с этими проблемами», — сказал он. «Но нарушения обходятся дорого, может быть, что-то минимальное, а может быть, и что-то большое. Они невероятно дороги».
По его словам, чтобы укротить этот Дикий Запад API, Эмке призвал ИТ-подразделения инвестировать в платформу API, которая может автоматизировать безопасность и управление так, как этого не делают шлюзы API.
API Дикий Запад
В настоящее время многие организации сталкиваются с вопросами по поводу своих API, отметил он: «Существует несколько клиентских API — какой из них правильный?» Эта конечная точка должна быть общедоступной? Почему клиент обнаружил раскрытие личной информации раньше, чем это сделал ИТ-специалист?
Шлюз API дает вам некоторую информацию, но ее недостаточно, утверждал он. В частности, он обеспечивает:
- Прокси, но понятия не имею, кто еще не мигрировал;
- Аутентификация, но она добровольная, а не обязательная.
- Ограничение ставок, но без бизнес-контекста; и
- Метрики, но учитываются только запросы.
Но Эмке сказал, что разработчикам тоже нужно знать
- Кому какие API принадлежат, когда они ломаются в 3 часа ночи?
- Какие API можно вывести из эксплуатации, не прерывая производство?
- Как найти API вместо создания дубликатов и
- Соответствуют ли API фактическим доказательствам.
«Пришло время создать платформу, которая действительно управляет страной», — сказал он.
API-утопия
Сравните Дикий Запад с идеей API-утопии, которую он определил как предоставление:
- Полная видимость API в режиме реального времени;
- Безопасность встроена автоматически.
- Повторное использование блоков дизайна API, соблюдение стандартов;
- Доставка в 3 раза быстрее;
- Соблюдение требований, когда аудиторы и регулирующие органы становятся вашими поклонниками; и
- API, которые можно легко монетизировать.
«Вы можете получить полную прозрачность, безопасность, повторное использование, доставку, соответствие требованиям и монетизацию в одном облаке, если будете думать, что это больше, чем просто шлюз», — сказал Эмке. «Ворота — это часть концепции, но этого недостаточно».
6 столпов успеха платформы API
Чтобы добиться этого, он рекомендовал принять шесть столпов успеха платформы API.
«Мы можем стать лучше. Мы можем сделать больше быстрее», — сказал он. «Мы можем сократить количество инцидентов, связанных с безопасностью, и снизить затраты на разработку», — сказал он. «Размышление об этом по шести различным направлениям помогает просто понять, о чем мне следует думать на моей платформе API, а не просто на шлюзе».
Первый столп – установить четкую политику и стандарты.где управление является обязательным. Первый компонент означает требование:
- Использование OAuth;
- Версия всех API;
- Полностью документируйте все API; и
- Требование ко всем API пройти тесты безопасности.
«Это то, что вы помещаете в кодекс, в закон», — сказал Эмке.
Второй столп — управление жизненным циклом API.от проектирования до сборки, тестирования, развертывания, эксплуатации и вывода из эксплуатации вашего шлюза.
«Это средства автоматизации и инструменты, которые вы встроили в свою платформу», — объяснил Эмке. «В вашей платформе все должно быть засекречено, чтобы вы случайно не попали на производство» [and] API утечка номера социального страхования. Опять же, эти вещи происходят без правильных сдержек и противовесов», — сказал он.
«Например, чтобы спроектировать шлюз, вы должны убедиться, что он действителен OpenAPI 3.1, включает схемы безопасности, определены автоматические потоки, есть владельцы в каталоге и классификация данных», — пояснил он. Создание шлюза требует проверки обратной совместимости, семантического версионирования, контрактных тестов, а также оценки его производительности и влияния на потребителя.
Платформа API должна обрабатывать:
- Инвентаризация и право собственности, поэтому для всех конечных точек имеется единый источник достоверной информации;
- Контрактное тестирование, позволяющее автоматически запускать тесты при каждом изменении;
- Политика как код, обеспечивающий соблюдение шлюзов в CI/CD и шлюзе.
- Прогрессивные поставки, такие как канарейка/тень/откат через шлюз;
- Реестр потребителей, который сопоставляет вызывающие абоненты с версиями и выполняет анализ воздействия; и
- Наблюдаемость, благодаря которой бюджеты целевого уровня обслуживания (SLO) привязаны к правам на развертывание.
Третий столп требует автоматизации и инструментов. управлять временем разработки, временем выполнения и операциями платформы. Например, во время разработки необходимо генерировать код на основе спецификаций, проверять схему и использовать фиктивные серверы. Время выполнения должно включать ограничение скорости и квоты; аутентификация, преобразование и разрыв цепи. Операции должны позволять SLO выполнять автоматический откат, ротацию сертификатов и отчеты о соответствии.
«Люди стоят дорого. Они берут отпуска, поэтому автоматизируйте все, что можете», — сказал Эмке. «Это серьезная проблема. Здесь много пробелов в безопасности. Команды API, функциональные команды, они могут добиться цели, но они не всегда думают об общей картине безопасности и соответствия требованиям».
Четвертый компонент касается вопросов безопасности и соответствия требованиям.включая аутентификацию, защиту во время выполнения и соответствие требованиям. Так, например, при аутентификации платформа должна предоставить:
- OAuth 2.0/Открытая авторизация/OpenID Connect (OIDC);
- mTLS для сервисной сетки;
- Ротация ключей API;
- Проверка с нулевым доверием.
Защита во время выполнения включает в себя:
- смягчение последствий DDoS-атак;
- Блокировка SQL-инъекций;
- Ограничение скорости на одного клиента;
- Шифрование полезной нагрузки.
Проблемы соответствия, которые должна решать платформа, включают аттестацию инвентаря, отчеты о типах аутентификации, интеграцию с инструментами безопасности и ведение журнала аудита.
Пятый компонент включает в себя опыт разработчиков. и шаги, которые включают в себя полезные для разработчиков возможности, такие как возможность:
- Просмотрите каталог существующих API;
- Генерация из шаблонов и SDK;
- Предварительно настроена аутентификация/безопасность;
- Автоматизированные проверки соответствия;
- Все самообслуживание.
«Вы столкнетесь с сильным сопротивлением, если поставите все… как собственный код или создадите все как свое собственное приключение», — сказал Эмке. «Но если вы облегчите процесс адаптации для своих разработчиков, загрузите свою спецификацию, получите прокси, я могу гарантировать вам, что гораздо больше людей выломают вашу дверь и скажут: «Я хочу использовать ваш новый прокси, потому что он настолько прост в использовании, у меня есть все из коробки».
Окончательно, Шестой компонент посвящен мониторингу и метрикам на панели управления API. это сообщает разработчикам общее количество API, процент соответствия, среднее время ответа, проблемы безопасности, повторное использование API и удовлетворенность разработчиков.
Скриншот презентации Джейсона Эмке на Kong API Summit 2025.
Избегайте ловушек
«Во всем этом есть некоторые потенциальные ловушки, потому что у вас может не быть поддержки, у вас может не быть правильной поддержки», — предупредил Эмке. «Конечно, у вас есть платформа, но вы не разговаривали с командой безопасности. Вы не получили их благословения».
Наиболее распространенные пять ошибок, которые создают проблемы:
«Автоматизируйте, автоматизируйте и еще раз автоматизируйте — в этом и состоит опыт разработчиков», — сказал он. «Если опыт адаптации будет настолько заметен, разработчики найдут способ заставить своего вице-президента дать им исключение не использовать его, и вы вернетесь к исходной точке».
ТЕНДЕНЦИОННЫЕ ИСТОРИИ YOUTUBE.COM/THENEWSTACK Технологии развиваются быстро, не пропустите ни одной серии. Подпишитесь на наш канал YouTube, чтобы смотреть все наши подкасты, интервью, демонстрации и многое другое. ПОДПИСАТЬСЯ Группа, созданная в Sketch. Лорейн Лоусон — опытный репортер в области технологий, которая в течение 25 лет освещала технологические вопросы, от интеграции данных до безопасности. До прихода в The New Stack она работала редактором сайта банковских технологий Bank Automation News. У нее есть… Подробнее от Лорейн Лоусон.
