譯者 | 李睿

審校 | 重樓

51CTO讀者成長計劃社群招募，咨詢小助手（微信號：CTOjishuzhan）

設(shè)計良好的API治理框架可以幫助組織建立開發(fā)、部署和管理API的指導(dǎo)方針和優(yōu)秀實踐。

API治理指的是一組策略、過程和實踐，組織采用這些策略、過程和實踐來確保對其應(yīng)用程序編程接口(API)的有效管理和控制。設(shè)計良好的API治理框架可以幫助組織建立開發(fā)、部署和管理API的指導(dǎo)方針和優(yōu)秀實踐。它為API開發(fā)提供了一種結(jié)構(gòu)化的方法，并有助于確保提供給內(nèi)部和外部利益相關(guān)者的API的一致性。有效的API治理還有助于組織識別和減輕與API相關(guān)的風(fēng)險，例如安全漏洞、合規(guī)性問題和性能問題。通過實現(xiàn)API治理優(yōu)秀實踐，組織可以優(yōu)化他們的API組合，改善團隊之間的協(xié)作，并增加從API投資中獲得的價值。

下圖說明了組成API治理框架的各種組件。該圖的中心是API治理委員會，它負責(zé)監(jiān)督和管理治理過程。董事會由來自組織內(nèi)不同業(yè)務(wù)單元和技術(shù)團隊的代表組成。

API治理框架由多個關(guān)鍵組件組成，這些組件協(xié)同工作以實現(xiàn)跨組織的有效API管理。這些組件包括安全性、技術(shù)、利用率、教育、監(jiān)控、標準、性能和合規(guī)性。

1、API的安全

安全組件對于確保API的設(shè)計和實現(xiàn)具有健壯的安全特性以防止未經(jīng)授權(quán)的訪問、數(shù)據(jù)泄露和其他安全風(fēng)險至關(guān)重要。技術(shù)組件側(cè)重于為API選擇最合適的技術(shù)堆棧，并確保它與其他現(xiàn)有系統(tǒng)無縫集成。

API安全是API治理的一個關(guān)鍵組成部分，因為它涉及保護API免受未經(jīng)授權(quán)的訪問、濫用和其他安全威脅。為了確保API的安全性，可以采取各種措施，例如OWASP測試、滲透測試、API使用監(jiān)控、代碼審查以及身份驗證和授權(quán)機制。

OWASP測試是一個標準化的安全測試過程，旨在識別API中潛在的安全漏洞。它涉及各種安全測試，例如注入攻擊、跨站點腳本和訪問控制問題等等。

滲透測試是另一種用于識別API中潛在安全漏洞的技術(shù)。它涉及對API的模擬攻擊，以識別可能被網(wǎng)絡(luò)攻擊者利用的潛在弱點。

API使用監(jiān)控是檢測API使用中不尋常或不自然模式的過程。這種監(jiān)視可以幫助識別潛在的安全威脅，以防止API的誤用和濫用。

代碼審查也是API安全性的一個重要方面。通過徹底檢查API代碼，開發(fā)人員可以識別潛在的安全缺陷和漏洞，并在它們成為威脅之前解決。

身份驗證和授權(quán)機制對于保護API免受未經(jīng)授權(quán)的訪問至關(guān)重要。這些機制確保只有被授權(quán)的用戶才能訪問API，并且用戶只能訪問他們被授權(quán)訪問的資源。此外，API端點的設(shè)計必須區(qū)分用戶和管理員，以防止未經(jīng)授權(quán)的訪問。

總之，實現(xiàn)健壯的安全措施(例如OWASP測試、滲透測試、API使用監(jiān)控、代碼審查以及身份驗證和授權(quán)機制)對于確保API的安全性和完整性至關(guān)重要。通過實施這些措施，組織可以保護API免受潛在的安全威脅，并確保API服務(wù)安全可靠地交付給用戶。

2、API技術(shù)

API技術(shù)是API治理的重要組成部分，它涉及為API選擇和管理適當?shù)募夹g(shù)堆棧。為了確保技術(shù)的有效使用，可以采取幾種措施，例如對所有現(xiàn)有技術(shù)進行編目錄，確定引入和淘汰過時技術(shù)的新技術(shù)，檢查Gartner Magic Quadrant，確定生產(chǎn)事件并為其貼上技術(shù)標簽，在確定淘汰過時技術(shù)的最后期限的同時促進新技術(shù)的適應(yīng)。

對所有現(xiàn)有技術(shù)進行編目，可以讓組織對用于API開發(fā)和管理的技術(shù)有一個清晰的理解。這些信息可以幫助識別技術(shù)堆棧中的潛在差距、重疊和冗余。

確定新技術(shù)以引入和淘汰過時技術(shù)是API技術(shù)的另一個重要方面。它確保技術(shù)堆棧保持最新，并與最新的行業(yè)標準和優(yōu)秀實踐保持一致。此外，檢查Gartner魔法象限可以幫助組織識別新興技術(shù)，并評估其對API開發(fā)和管理的適用性。

在評估當前技術(shù)堆棧的有效性時，識別生產(chǎn)事故并為其貼上技術(shù)標簽也是至關(guān)重要的。它有助于識別潛在的改進領(lǐng)域，并識別無法滿足業(yè)務(wù)需求的技術(shù)。

最后，促進新技術(shù)的適應(yīng)和確定淘汰過時技術(shù)的最后期限可以幫助確保技術(shù)堆棧保持最新并與組織的業(yè)務(wù)目標保持一致。它還確保組織使用最合適的技術(shù)進行API開發(fā)和管理。

總的來說，有效的API技術(shù)管理包括仔細選擇和管理適當?shù)腁PI技術(shù)堆棧。通過實施諸如對現(xiàn)有技術(shù)進行編目、識別新技術(shù)、評估生產(chǎn)事故和促進新技術(shù)的適應(yīng)等措施，組織可以確保高效和有效地使用技術(shù)進行API開發(fā)和管理。

3、API的利用率

API的利用是API治理的一個關(guān)鍵組件，它涉及到監(jiān)視和優(yōu)化API的使用，以確保最大的價值和效率。為了實現(xiàn)這一點，可以采取一些措施，例如在儀表板上集中使用API，退役或合并未使用的API，擴展和優(yōu)化高度使用的API，公開API Catalog以提高利用率，在整個組織中發(fā)布API并實現(xiàn)貨幣化，計算API成本并實施成本優(yōu)化。

在儀表板上集中使用API可以讓組織清楚地了解各種應(yīng)用程序和服務(wù)之間的API使用情況。這個儀表板可以幫助識別潛在的瓶頸、過度利用或未充分利用的API，以及需要優(yōu)化的領(lǐng)域。

退役或合并未使用的API是API利用的另一個重要方面。它確保API不會消耗不必要的資源，并降低API生態(tài)系統(tǒng)的整體復(fù)雜性。

要確保API能夠有效地處理增加的流量和使用，縮放和優(yōu)化使用率高的API也是必不可少的。通過識別高度使用的API，組織可以優(yōu)化其性能，增加可擴展性，并改善整體用戶體驗。

公開API目錄(例如Swagger Hub)可以使開發(fā)人員更容易發(fā)現(xiàn)和重用現(xiàn)有API，而不是構(gòu)建新的API，從而提高API的利用率。這不僅節(jié)省了時間和資源，還提高了一致性，降低了API生態(tài)系統(tǒng)的整體復(fù)雜性。

在整個組織中發(fā)布API并將其使用貨幣化是提高API利用率的另一種有效方法。通過將API使用貨幣化，組織可以鼓勵開發(fā)人員使用現(xiàn)有API，并減少冗余API的開發(fā)。

最后，計算API成本并實施成本優(yōu)化對于管理API使用的總體成本至關(guān)重要。通過確定運行時成本(例如CPU、網(wǎng)絡(luò)和日志量)，組織可以實施成本優(yōu)化措施，并將不必要的成本降至最低。

總之，有效的API使用管理包括監(jiān)控和優(yōu)化API使用，以確保最大價值和效率。通過實施一些措施，例如集中使用API、退役未使用的API、優(yōu)化高度使用的API、公開API目錄、發(fā)布API、實現(xiàn)使用貨幣化和實施成本優(yōu)化，組織可以確保高效和有效地使用API，同時將成本降至最低。

4、API的監(jiān)控

API監(jiān)視是API治理的一個關(guān)鍵方面，它涉及跟蹤和分析API的性能、可用性和安全性。為了確保有效的API監(jiān)控，組織可以引入優(yōu)秀實踐并實施一些措施。

首先，建立API監(jiān)測的優(yōu)秀實踐是必要的。這包括建立一個專用的監(jiān)視系統(tǒng)，并定義監(jiān)視指標和閾值，以確保API的健康和性能。該系統(tǒng)應(yīng)該跟蹤關(guān)鍵性能指標，例如響應(yīng)時間、錯誤率和正常運行時間。

發(fā)布日志保留和卷號是API監(jiān)視的另一個重要方面。它可以幫助組織識別API使用和性能的趨勢和模式，這可以幫助決策和優(yōu)化。例如，組織可以使用此數(shù)據(jù)來識別需要優(yōu)化的過度使用的API，或者檢測未經(jīng)授權(quán)的訪問或安全漏洞。

為不尋常的模式、峰值和其他異常設(shè)置警報可以幫助組織快速識別和響應(yīng)問題。這確保了任何問題都能及時得到解決，并降低了長時間停機或服務(wù)中斷的風(fēng)險。

最后，監(jiān)視API的SQL注入和其他攻擊對于確保API安全性至關(guān)重要。組織應(yīng)該實施預(yù)防和檢測此類攻擊的措施，例如輸入驗證、加密和訪問控制。這有助于將未經(jīng)授權(quán)的訪問或數(shù)據(jù)泄露的風(fēng)險降至最低，并確保API是安全和合規(guī)的。

總之，有效的API監(jiān)視包括實現(xiàn)優(yōu)秀實踐、發(fā)布日志保留和卷號、為異常模式設(shè)置警報以及監(jiān)視SQL注入和其他攻擊。這些措施有助于確保API的健康、性能和安全性，最大限度地減少停機時間和中斷，并最大化它們對組織的價值。

5、API標準

API標準是API治理的重要組成部分，因為它們確保API在整個組織中得到一致的開發(fā)和維護。為了確保遵守API標準，組織可以實施一些措施。

應(yīng)該遵循的一個關(guān)鍵標準是OpenAPI標準，該標準定義了描述RESTful API的標準方法。遵循這個標準可以確保API有良好的文檔記錄，易于理解，并可與其他API互操作。

為了使審計過程自動化并發(fā)現(xiàn)問題，組織可以使用一些工具。這些工具可以掃描API代碼和配置，以發(fā)現(xiàn)潛在的問題，例如安全漏洞或違反法規(guī)。這有助于確保API是安全的、兼容的和高質(zhì)量的。

另一個重要的標準是要求團隊提交API YAML文件和Postman集合。這確保了API文檔和測試工件是最新的，并且易于其他團隊訪問。它還有助于確保API經(jīng)過良好的文檔記錄、測試和使用準備。

最后，支持金絲雀、藍色/綠色版本和版本控制對于確保API能夠有效地部署和管理至關(guān)重要。金絲雀版本涉及將新功能部署給一小部分用戶，在向更廣泛的用戶發(fā)布之前測試其影響。藍色/綠色發(fā)布涉及維護兩個相同的運營環(huán)境(藍色和綠色)，并在它們之間切換流量，以確保更新順利推出。版本控制包括為每個API分配一個唯一的版本號，以確保對一個版本的更改不會影響其他版本。

總之，API標準對于API治理是至關(guān)重要的，組織可以實施一些措施來確保遵守這些標準，包括遵循OpenAPI標準，自動化審計過程，要求團隊提交API YAML文件和Postman集合，以及支持Canary、Blue/Green發(fā)布和版本控制。這些措施有助于確保API經(jīng)過良好的文檔記錄、測試、安全、兼容以及有效地部署和管理。

6、API的性能

API性能是API治理的一個關(guān)鍵方面，因為它直接影響用戶體驗和組織API組合的運營成本。為了確保API以最佳方式執(zhí)行，可以實行一些措施。

一個關(guān)鍵措施是使用Kibana、AppDynamics或Nginx等工具監(jiān)控API性能。這些工具可以洞察API響應(yīng)時間、錯誤率和其他性能指標。通過監(jiān)控API性能，組織可以快速發(fā)現(xiàn)問題并采取糾正措施。

另一個重要措施是為低性能API設(shè)置警報，并通知團隊采取行動。這可以確保及時發(fā)現(xiàn)和解決性能問題，最大限度地減少對用戶的影響，降低運營成本。

低性能API會導(dǎo)致高消耗成本和客戶不滿。用戶希望API能夠快速響應(yīng)，任何延遲或錯誤都可能導(dǎo)致挫敗感和業(yè)務(wù)損失。通過優(yōu)化API性能，組織可以提供更好的用戶體驗并降低運營成本。

總之，API性能是API治理的一個關(guān)鍵方面，組織可以實施一些措施來確保API以最佳方式執(zhí)行，包括使用Kibana、AppDynamics或Nginx等工具監(jiān)控API性能，為性能較低的API設(shè)置警報并通知團隊采取行動，以及優(yōu)化API性能以提供更好的用戶體驗并降低運營成本。

7、API合規(guī)性

API合規(guī)性是API治理的一個關(guān)鍵方面，因為它確保API遵守公司內(nèi)部策略和監(jiān)管需求。合規(guī)性主要有兩種類型：組織合規(guī)和監(jiān)管合規(guī)。

組織合規(guī)性指的是遵守管理組織內(nèi)API開發(fā)和使用的內(nèi)部策略和標準。這些策略可以包括數(shù)據(jù)安全、隱私和治理。確定并同意遵循哪些公司法規(guī)遵循策略，并確保API遵守這些策略是很重要的。

合規(guī)性指的是遵守管理API開發(fā)和使用的外部法規(guī)和標準。這些法規(guī)可以包括特定于行業(yè)的標準，例如用于醫(yī)療保健的HIPAA或用于支付卡數(shù)據(jù)的PCI DSS。確定哪些合規(guī)性標準適用于組織的API并確保API遵守這些標準是很重要的。

為了確保API合規(guī)性，可以執(zhí)行連續(xù)掃描，例如靜態(tài)和動態(tài)掃描，以確定潛在的技術(shù)合規(guī)性問題。例如，靜態(tài)掃描可以分析代碼的安全漏洞，而動態(tài)掃描可以模擬對API的攻擊，以識別潛在的漏洞。通過在早期將合規(guī)性掃描集成到開發(fā)過程中來左移API安全性是很重要的，因為這可以幫助在開發(fā)周期的早期識別和解決合規(guī)性問題。

總之，API合規(guī)性是API治理的一個關(guān)鍵方面，組織可以實施一些措施來確保API遵守組織合規(guī)性策略，包括確定并同意遵循哪些合規(guī)性策略，執(zhí)行連續(xù)掃描以識別潛在的合規(guī)性問題，以及通過在早期將合規(guī)性掃描集成到開發(fā)過程中來左移API安全性。

8、結(jié)語

API治理是一個復(fù)雜的、多方面的規(guī)程，涉及許多組件，包括安全、技術(shù)、合規(guī)性、利用、監(jiān)視、性能和教育。通過在這些領(lǐng)域中實現(xiàn)優(yōu)秀實踐，組織可以確保他們的API是安全、高效和兼容的，并為用戶提供最大的價值。

API安全性對于防止?jié)撛诘墓艉吐┒粗陵P(guān)重要，組織可以實現(xiàn)諸如OWASP和PEN測試、身份驗證和授權(quán)等措施，以確保其API的安全性。

API技術(shù)在不斷發(fā)展，組織可以對現(xiàn)有技術(shù)進行編目，確定要引入的新技術(shù)，并淘汰過時的技術(shù)，以保持API的最新和高效。

API合規(guī)性對于遵守公司內(nèi)部政策和外部監(jiān)管要求是至關(guān)重要的，組織可以實施持續(xù)掃描來識別潛在的合規(guī)性問題，并確保其API遵守相關(guān)的政策和標準。

API利用包括監(jiān)控API使用模式、退役未使用的API、擴展高度使用的API以及公開API目錄以提高利用率和貨幣化。

API監(jiān)控包括為異常模式設(shè)置警報，識別SQL注入和攻擊，以及在API監(jiān)控中推廣優(yōu)秀實踐。

API性能對于確保API高效運行至關(guān)重要，組織可以使用Kibana、AppDynamics和Nginx等工具監(jiān)控API性能，為低性能API設(shè)置警報，并優(yōu)化API以降低消耗成本并提高客戶滿意度。

原文鏈接：https://dzone.com/articles/API-governance-best-practices-and-strategies-for-e