La rivoluzione delle API ha sostenuto la crescita dell'economia digitale globale, ma potrebbe presto essere un fenomeno fuori controllo, come evidenzia la ricerca "Continuous API Sprawl: Challenges and Opportunities in an API-Driven Economy", realizzata da F5.
Questa mostra quale sia lo stato di rapida proliferazione delle API e i rischi che questo comporta in termini di governance e sicurezza. Le API sono oggi parte integrante del funzionamento di Internet, alimentano numerose attività, dai pagamenti digitali ai servizi di intrattenimento online fino alla casa intelligente.
I dati possono SBAGLIARE, non dobbiamo fidarci ciecamente - Giuseppe Vaciago
F5 stima che l’attuale quantità di API disponibili sia di circa 200 milioni ed è un mondo in costante evoluzione: risulta quindi impossibile quantificare con esattezza quante saranno in futuro; nonostante questo, mediante una analisi basata su un modello che prende in considerazione il numero di sviluppatori e la loro propensione a scrivere API, F5 stima che nel 2030 il numero di API pubblicate potrebbe salire a 1,7 miliardi.
Ma non è tanto il volume di API disponibili ad essere preoccupante, quanto la direzione che questa crescita sta prendendo: un fenomeno che il report definisce “API Sprawl", ossia la rapida distribuzione di API che non possiedono né standard comuni, né una governance forte o un controllo sufficiente del versioning e delle esigenze di sicurezza.
Questa proliferazione è frutto delle nuove tendenze nello sviluppo del software, che comprendono l’adozione crescente di architetture a microservizi, la maggiore diffusione dello sviluppo continuo del software e la spinta alla modernizzazione delle app legacy, tutti fattori che contribuiscono a generare un numero sempre maggiore di API, con il rischio di creare duplicazioni, scarsa documentate o un supporto non sufficiente.
La complessità organizzativa aggiunge ulteriore confusione perché, in genere, i team di sviluppo software preferiscono lavorare per silos indipendenti e basarsi su best practice e molte organizzazioni operano ora con un approccio di infrastruttura ibrida.
Lo State of Application Strategy Report di F5 ha rivelato che nel 2021 il 68% delle organizzazioni ha operato in media su quattro o cinque diverse architetture applicative, rispetto al 41% nel 2020. Questa tendenza contribuisce ulteriormente alla dispersione e alla duplicazione delle API e rende ancora più difficile fornire la necessaria supervisione.
“La diffusione di API di ogni tipo porterà le organizzazioni a un punto di rottura, in cui non saranno più in grado di gestirle e controllarle efficacemente", ha affermato Rajesh Narayanan, Senior Director e Distinguished Technologist di F5. "Questo è il risultato dell’API Sprawl, la condizione di avere troppe API, di tipologie troppo differenti e in troppe posizioni diverse da gestire".
La crescita del numero di API porta in primo piano sfide di carattere operativo e legate alla sicurezza. Con il loro aumento e la crescente complessità delle applicazioni, infatti, diventa molto più difficile riuscire a tenere traccia della loro posizione, individuarle all'interno e all'esterno dell'azienda, e anche la connettività end-to-end può risentirne. Inoltre, gli aggiornamenti frequenti alle API causano problemi legati al versioning e alla documentazione.
Altrettanto pressanti sono gli aspetti di sicurezza: lo scorso anno, oltre il 90% delle aziende ha subito un incidente di sicurezza legato alle proprie API. Infine, le API rappresentano uno dei rischi principali all'interno dell'intero panorama cloud: IBM ha scoperto che, nell’ultimo anno, due terzi degli incidenti di sicurezza nel cloud riguardavano una non corretta configurazione delle policy di autorizzazione e acceso alle API.
“La crescita non gestita delle API è una vulnerabilità aperta, pronta per essere sfruttata”, commenta Narayanan. “Il loro aumento esponenziale all’interno dell'infrastruttura distribuita implica che le informazioni critiche, i dati che consentono l'accesso privilegiato a un sistema, vengano diffusi in modo sempre più ampio e diventino più vulnerabili. Basta che una sola chiave API sia compromessa affinché un utente malintenzionato possa accedere a tutta l’infrastruttura critica!".
Le API continueranno a rappresentare un fattore essenziale per l'economia digitale: un importante motore per l’innovazione e per generare valore. Nonostante esse siano una grossa opportunità di business, la loro crescita ci pone di fronte a minacce che devono essere gestite in modo coordinato per evitare che le criticità emergenti di oggi diventino in futuro problemi sistemici su larga scala.
"L’API sprawl è inevitabile nell'architettura software moderna", aggiunge Narayanan. “Non possiamo evitarlo, quindi dobbiamo trovare un modo per affrontarlo in modo pratico e scalabile. Entro il 2030 mi aspetto l’emergere di nuovi servizi offerti come soluzioni SaaS in grado di convalidare e fornire una “source of truth” sulla sicurezza e sulla capacità di supportare le API. Avremo anche bisogno di un inventario di API non più in uso o non supportate, per creare un vero e proprio garbage collector”.
In definitiva, come conclude il report, questo è il momento di agire, prima che lo sprawl raggiunga un livello troppo complesso per mantenere il controllo. “Se i dati sono il nuovo petrolio dell’economia digitale, le API potrebbero purtroppo diventare presto la sua nuova plastica, con sottoprodotti che creano scompiglio nell'ecosistema. Per rimanere sane e prosperare nell'economia basata sulle API, è tempo che le organizzazioni si impegnino seriamente a crearle, utilizzarle e gestirle in modo responsabile e sicuro".