CIO观点分享：为什么要支持API治理以避免技术蔓延

API已经变得无处不在，但要对不断扩大的、不同风格的组合进行管理，存在着诸多挑战。因此，各种API治理方法对于支持现代企业结构和避免技术超载负担来说，正在变得越来越重要。

大多数企业已经开始越来越多地以软件为中心，随着这种转变的发生，应用程序编程接口（API）也在激增。同时，在不断扩充的技术目录中执行各种API标准，也变得越来越困难，这引发了人们对API治理的重视：定义和执行策略的实践，以确保API的设计、版本控制保持一致，并具有适当的访问控制措施，Gartner副总裁分析师兼软件工程研究负责人Mark O'Neill这样表示。

无代码自动化平台公司Workato的首席信息官Carter Busse补充说，API现在是一种重要的连接组织，可以在业务流程中与大型语言模型进行集成和交互。“如果企业想要输入、利用这些数字大脑并将其嵌入到业务之中，他们就需要一个API把大型语言模型连接到各种业务应用。”随着企业对生成式AI越来越依赖，预计使用API的数量也会相应增加。

但API的作用不仅仅是支持下一代技术——API已经在大多数企业中发挥了基本的作用。API安全解决方案提供Noname Security的现场CISO Karl Mattson表示，API几乎是所有CIO交付业务价值这一战略计划的基础。因此，他把API治理视为评估和完善这一价值的杠杆。他说：“良好的治理是对投资的评估，从中可以调整运营和战术计划并集中精力实现战略目标。”

API优先策略正在兴起

API在现代软件架构中无处不在，幕后工作则在于促进无数连接功能。软件公司Bizagi的首席信息官Antonio Vázquez表示:“作为跨平台集成数据和业务服务的一个推动力，API非常符合当前的技术趋势，一个好的API策略，其核心元素包括可重用性、可组合性、可访问性和可扩展性，从而支持混合云、超自动化或人工智能等技术趋势。”

因此，以API为先的做法，在面向开发者接口的开发工作中，要高于其他考量因素。企业闪存存储提供商Pure Storage的首席信息官Krithika Bhat表示：“API优先战略对于驾驭当代技术趋势、促进创新、适应快速发展的技术环境来说是至关重要的。”她认为，云计算和微服务架构的日益普及，是API优先方法步入主流的一个主要驱动力。她说，数字化转型和对第三方服务的日益依赖也是其中的关键因素。

API优先的文化还可以在整个组织中带来积极的连锁反应。Workato的Busse表示：“IT部门已经使用API来支持目标驱动的应用，通过应用的定制和个性化实现无缝集成并促进员工创新。”

零信任数据安全公司Rubrik的首席技术官和首席技术官Ajay Sabhlok也认为，API在当今技术领域中仍然具有重要的意义，特别是对于B2B连接而言。他说：“在主要基于SaaS应用的IT架构中，应用之间的双向数据流最好是通过API实现。”他补充说，API优先的开发策略可以带来很多好处，包括底层数据的抽象、提高自动化、更好地管理数据使用、以及更追踪到的审计路径。

下一代平台推动API的使用

O’Neill表示，API处于尖端开发趋势的前沿，多年来，现代Web和移动开发都涉及前端框架在后端调用API，这推动了API的大量使用。他说：“当前的API趋势是由开发人员推动的，其中包括转向对开发人员更加友好的轻量级API网关，以及GraphQL的兴起。”

然而更令人兴奋的是AI的发展前景以及AI将如何促进API的采用。O’Neill说：“API仍然是技术战略的核心，并且由于大型语言模型也使用API（包括OpenAI插件），因此API变得比以往任何时候都更加重要。”Sabhlok补充说：“生成式AI大型语言模型提供的API，可以在多个AI应用中使用，导致API的使用呈指数级增长。”

提高API利用率的背后，还有其他的关键驱动因素。Sabhlok指出，例如电动汽车制造商或拼车企业开发了可访问的平台或设备，消费者或第三方补充产品制造商可以通过API轻松与之交互。他还提到了微服务和低代码/无代码平台，这些平台通常利用API作为通信网关。此外，API还经常被用作内部可重用性和集成数据流流程的构建块。

API蔓延带来新的管理开销

如今企业有各种各样的API产品组合，从内部服务到合作伙伴集成和第三方SaaS提供商。Pure Storage公司的Bhat表示，管理很多新的API会产生额外的运营开销。她说：“组织需要分配资源用于维护、更新和支持，这会影响API管理的成本效益。”

随着API的增加，还需要付出的努力来保持设计一致性，减少可扩展性和最终用户体验问题，更不用说因表面积扩大而增加的安全风险了。Bhat表示：“主动解决和缓解与身份验证、授权和数据保护相关的安全风险变得至关重要。”Noname Security公司的Mattson补充说，数据泄露事件中往往会涉及到API，而在整个API生命周期中保护API安全的最佳实践却相对不成熟。

此外还需要同时管理整个API生命周期中的变更操作，以确保集成是可靠的。Busse表示：“管理API和管理软件开发是类似的，开发人员和IT团队必须确保在实施API的时候有适当的变更管理、源代码控制和发布管理流程，以实现应用之间有效且安全的集成。”

如果没有适当的API库存管理，企业可能会遭受重用率下降的影响，从而导致臃肿和技术债务等问题。Sabhlok表示，如果定制应用没有有效地对API进行编目，那么开发文化可能会因定制应用中类似功能型API的潜在扩散而受到影响。

Pure Storage首席技术官兼副总裁Ratinder Paul Singh Ahuja表示，由于设计模式不一致、通信孤岛、访问控制、文档障碍以及监控、性能和可扩展性等问题，导致API的普及带来了诸多IT管理上的挑战。然而，除了技术考虑之外，还需要考虑商业影响，Bizagi的Vázquez补充说，“我们必须明确价值主张是什么、目标用户是谁、与业务目标的一致性是什么，以及如果可能的话，如何围绕API进行营销和变现。”

力挽狂澜

API治理的出现，是为了应对这些不断升级的管理障碍，并且使用程序监督整个API生命周期中的各项元素，有助于获得安全可靠的投资回报率。Mattson表示：“随着API在企业中变得越来越普遍，IT部门和业务部门构建了API的治理计划，以确保他们对API的投资达到包括性能、效率、安全性和合规性在内的预期结果。”

Ahuja认为，API治理必须执行一致的API开发标准和政策，涵盖API操作的全部范畴。他说：“有意义的API治理，会涉及到API管理实践，包括整个API生命周期的一致性、可操作性、遥测、安全性和持续改进。”

API文化的蓬勃发展，还需要一个治理框架来实现高度安全的状态。Vázquez说：“任何治理计划都必须定义一个框架，以便能够及时正确地管理产品。就API而言，我们需要解决如何监控和维护的问题。”他补充说，我们还必须在未来的更新和版本控制中确保质量、安全性和合规性。

好的API治理到底是什么样子的？

在实践中，成功的API治理计划包含了很多要素。首先，良好的API治理应该改进了API的设计，使其在各项服务之间保持一致。“当良好的API治理措施部署就位，实现了设计的一致性，就意味着组织所有的API看起来都是由同一个团队定义的，即使其中涉及到了很多不同的团队，”Gartner的O’Neill这样表示。他补充说，治理应该尽可能自动化，这样对于API生产者或消费者来说，API策略就不会带来官僚上的瓶颈。

除了建立API设计标准之后，Sabhlok还强调说，高质量的API治理还应该考虑API的可见性，这可以通过全面记录、维护活跃库存、使用可观察性、创建从设计阶段到报废阶段的操作指南等策略来实现。他还建议，要建立一个卓越中心来审查和更新框架组件，并在必要时采取纠正措施。

那些有助于高质量API治理模型的因素，也将能够确保整体IT战略的未来发展。Busse说：“有效的API治理让组织能够通过轻松创建、共享、监控和调整API来快速适应变化，从而帮助组织保持长期竞争力，此外还能让组织对工作流程实现简化和自动化，节省时间，让个人和团队专注于关键业务任务。”

设置护栏让CIO安心

CIO应该到API治理，因为维护健康的API库存有利于整体IT的敏捷性。Vázquez表示：“确保我们API产品组合的健康，将让我们能够实现可扩展性、灵活性和成本最优，并为以无缝的、可靠的方式采用生成式AI等新技术做好准备。”

此外，API治理有助于建立更好的开发者体验和更安全的技术态势，这对于API优先计划的成功来说是至关重要的。O’Neill说：“API治理对于API的普及来说至关重要，因为这可以确保API的设计是一致的，也是API安全的核心，因为其中涉及到为API创建访问控制策略。”

此外，API治理对于指导运营和IT战略之间的战略协调是至关重要的。Ahuja说：“通过遵守既定的标准和政策，CIO可以简化IT流程、加快开发周期并促进团队之间的有效协作。API治理通过促进有凝聚力且管理良好的数字基础设施来促进战略协调，使CIO能够利用API作为战略资产，推动创新并支持组织更广泛的业务目标。”

Mattson解释说，API治理还可以通过更快的上市时间提供更精简、更安全的数字体验，让CIO安心。他说：“如果实施有效，API治理会让组织能够在整个生命周期中创建、更新和管理所有API，并不断调整其实践以实现最佳有效性”，而且恰当的治理可以对功能开发和交付起到指引作用，从而降低风险并帮助满足客户期望。

Sabhlok表示：“CIO必须支持API治理，因为这会带来很多好处。”然而，最好避免从一开始就全面治理，而是要采取小步骤并尽早验证进展的方法。他补充说：“识别并获得早期支持，是避免造成严重的API技术债务或者流程债务的一个绝佳方法，这些债务可能会阻碍以后的治理措施。”

帮助实现业务目标

在当今混合和互联的数字经济中，数据和软件功能本质上与价值是联系在一起的。Bhat表示：“从本质上讲，API优先战略对于驾驭当代技术趋势、促进创新、适应快速发展的技术环境是至关重要的。”适当的治理可以把任何与API优先策略相关的目标引向到正确的方向上来。

因此，为了实现业务目标，有必要对API运营管理进行投资。Mattson表示：“API是几乎所有CIO提供业务价值这一战略计划的基础，为了确保这些战略目标按预期实现，对API治理的关注和投资是必要的。”

根据Sabhlok的说法，API治理措施不仅会在应用中产生更多现成的API，而且可以作为衡量新技术计划是否持续成功的标准。对他来说，API治理是通过提供更“自信的增强流程或修改影响评估”来提升业务的，还为公司提供了一个公共论坛来分享他们的流程经验，包括性能、数据问题、丢失事务、中断和安全性等。

API治理可以帮助IT战略面向未来，更好地定位业务以采用最先进的技术。Busse说，这一点很重要，因为API对于接入新一代AI和大型语言模型来说是至关重要的，这是保持竞争力的一个关键工具。“因此，在AI驱动的未来，API对于我们如何与客户和合作伙伴开展业务是至关重要的。”

API产品化也蕴藏着巨大的潜力——治理使这种外部化变得可行。O’Neill说：“从API获得业务优势通常涉及到通过API开发产品，API治理可以确保API的设计和管理是一致的。”

API治理引导人们更自信地使用API

尽管API只是达到目的的一个工具，但需要对整个现代技术堆栈越来越依赖API的趋势进行敏锐的评估。因此，高管们一致认为，API治理将在巩固IT和业务战略未来方面，发挥重要作用。Mattson表示：“API是武器库中的一个工具，并且在许多情况下，是一个主要工具，治理实践可以引导组织及其工具充满信心地实现所有这些目标。”

Ahuja补充说，API治理最终有助于提高组织的敏捷性、创新性和对市场需求的响应能力。他说：“API治理可以支持总体业务目标并确保数字生态系统的有效性。”