Che cos’è l’API governance?

Perché è importante l’API Governance e quali sono le best practice?

Le API sono di gran lunga la modalità di integrazione e di comunicazione più usata tra applicativi differenti, in particolare le API REST.

Il successo del modello deriva primariamente da fattori come la semplicità dell’implementazione, l’indipendenza dal sistema operativo e dai dettagli implementativi, e in definitiva, il costo, ragionevolmente basso, di creare un’architettura basata sui microservizi.

Data la loro centralità, l’implementazione di misure di API Governance è più che mai necessaria.

Che cosa si intende per API Governance? Sono una serie di regole e pratiche che controllano come vengono utilizzate le API in modo da garantire la sicurezza e la compliance, ma non solo: lo scopo è quello di assicurare la standardizzazione delle API in modo da garantire che queste siano di alta qualità, affidabili e riutilizzabili. Se le API rappresentano un asset importante, soprattutto in un contesto aziendale medio-grande, la loro governance è fondamentale.

Le API si occupano infatti non solo di esporre funzionalità informatiche, ma anche servizi business: con una buona governance, l’azienda può avere a disposizione un archivio di blocchi riutilizzabili che possono essere consumati internamente ma anche dai partner, clienti, ecc.

Prima di pensare all’implementazione di una buona governance, è fondamentale riuscire a tracciare un archivio delle API attualmente in uso: il team IT deve infatti individuare tutte le API in uso, il loro lifecycle, l’owner per ogni fase e valutare la loro importanza all’interno dei processi business. Questo approccio permette di razionalizzare gli asset attualmente in uso, verificare che non ci siano ridondanze e avere una visione più chiara delle proprie API. 

A questo punto è possibile definire le API policy per l’intero lifecycle, in collaborazione con tutti gli stakeholder.

Le policy sono definite in base al contesto e alle esigenze aziendali ma possiamo senz’altro identificare alcune best practice: 

• impostare un set centralizzato di regole valide per l’intera organizzazione, come standard comuni o campi di metadati coerenti in modo da rendere le API trovabili e riutilizzabili; 
• contemplare le eccezioni, quindi impostare regole di governance flessibili quando necessario;
• stabilire un modello di informazioni per la pianificazione, la progettazione e la creazione di API;
• applicare la governance in tutte le fasi: pianificazione, progettazione, creazione, test ed esecuzione: questo assicura che le API siano standardizzate e affidabili ovunque si trovino nel ciclo di vita;
• controllo dell’API versioning: le regole di governance devono essere applicate a tutte le versioni di un’API e devono essere documentate;
• assicurarsi che le regole di governance delle API siano soddisfatte prima di distribuire un’API.

Per gestire in maniera efficiente le policy e le regole di governance, molte aziende si avvalgono di un’API management platform così da gestire in maniera centralizzata le policy e avere massima visibilità sull’ecosistema. 

Implementare una corretta API governance è ancor più importante se pensiamo alla diffusione del paradigma API- first o all’API as a Product (AaaP). Questo approccio permette di monetizzare le API ponendole come sistemi di servizi software gestiti nel cloud e proposti con pagamento a consumo. 

In ogni caso, i benefici dell’API Governance sono molteplici e riconosciuti sia dagli sviluppatori che dal business: 

• coerenza: sia l’esperienza utente che quella del developer devono essere necessariamente coerenti. Grazie all’API Governance, le Application Programming Interface sono facili da utilizzare, sono standardizzate (in ogni loro versione), coerenti nella nomenclatura dei parametri. Questo permette di evitare ridondanze, componenti strettamente accoppiati e codice duplicato;
• riduzione della complessità: questa migliora notevolmente l’affidabilità, la scalabilità e la manutenibilità dell’API;
• maggiore sicurezza: le API sono spesso prese di mira dagli hacker e utilizzate come punto di accesso per il data breach. Grazie a una governance puntuale e personalizzata degli accessi e all’ampia visibilità da questa fornita, le tue API, e di conseguenza la tua azienda, sono molto più sicure;
• linearità tra esigenze business ed esigenze tecniche.