La rivoluzione delle API ha sostenuto la crescita dell’economia digitale globale, ma potrebbe presto essere un fenomeno fuori controllo, come evidenzia la ricerca “Continuous API Sprawl: Challenges and Opportunities in an API-Driven Economy“, realizzata da F5, che mostra quale sia lo stato di rapida proliferazione delle application programming interface e i rischi che questo comporta in termini di governance e sicurezza.
Le API sono oggi parte integrante del funzionamento di Internet, alimentano numerose attività, dai pagamenti digitali ai servizi di intrattenimento online fino alla casa intelligente. F5 stima che l’attuale quantità di API disponibili sia di circa 200 milioni ed è un mondo in costante evoluzione: risulta quindi impossibile quantificare con esattezza quante saranno in futuro; nonostante questo, mediante una analisi basata su un modello che prende in considerazione il numero di sviluppatori e la loro propensione a scrivere interfacce di programmazione, F5 stima che nel 2030 il numero di API pubblicate potrebbe salire a 1,7 miliardi.
Ma non è tanto il volume di API disponibili ad essere preoccupante, quanto la direzione che questa crescita sta prendendo: un fenomeno che il report definisce “API Sprawl“, ossia la rapida distribuzione di application programming interface che non possiedono né standard comuni, né una governance forte o un controllo sufficiente del versioning e delle esigenze di sicurezza.
Questa proliferazione è frutto delle nuove tendenze nello sviluppo del software, che comprendono l’adozione crescente di architetture a microservizi, la maggiore diffusione dello sviluppo continuo del software e la spinta alla modernizzazione delle app legacy, tutti fattori che contribuiscono a generare un numero sempre maggiore di API, con il rischio di creare duplicazioni, scarsa documentate o un supporto non sufficiente.
La complessità organizzativa aggiunge ulteriore confusione perché, in genere, i team di sviluppo software preferiscono lavorare per silos indipendenti e basarsi su best practice e molte organizzazioni operano ora con un approccio di infrastruttura ibrida. Lo State of Application Strategy Report di F5 ha rivelato che nel 2021 il 68% delle organizzazioni ha operato in media su quattro o cinque diverse architetture applicative, rispetto al 41% nel 2020. Questa tendenza contribuisce ulteriormente alla dispersione e alla duplicazione delle interfacce di programmazione e rende ancora più difficile fornire la necessaria supervisione.
Come sottolineato in una nota ufficiale da Rajesh Narayanan, Senior Director e Distinguished Technologist di F5: «La diffusione di API di ogni tipo porterà le organizzazioni a un punto di rottura, in cui non saranno più in grado di gestirle e controllarle efficacemente. Questo è il risultato dell’API Sprawl, la condizione di avere troppe API, di tipologie troppo differenti e in troppe posizioni diverse da gestire».
API: ostacoli operativi e rischi per la sicurezza
La crescita del numero di application programming interface porta in primo piano sfide di carattere operativo e legate alla sicurezza. Con il loro aumento e la crescente complessità delle applicazioni, infatti, diventa molto più difficile riuscire a tenere traccia della loro posizione, individuarle all’interno e all’esterno dell’azienda, e anche la connettività end-to-end può risentirne. Inoltre, gli aggiornamenti frequenti alle API causano problemi legati al versioning e alla documentazione.
Altrettanto pressanti sono gli aspetti di sicurezza: lo scorso anno, oltre il 90% delle aziende ha subito un incidente di sicurezza legato alle proprie API[1]. Infine, sempre le stess rappresentano uno dei rischi principali all’interno dell’intero panorama cloud: IBM ha scoperto che, nell’ultimo anno, due terzi degli incidenti di sicurezza nel cloud riguardavano una non corretta configurazione delle policy di autorizzazione e acceso alle API[2].
Per Narayanan: «La crescita non gestita delle API è una vulnerabilità aperta, pronta per essere sfruttata. Il loro aumento esponenziale all’interno dell’infrastruttura distribuita implica che le informazioni critiche, i dati che consentono l’accesso privilegiato a un sistema, vengano diffusi in modo sempre più ampio e diventino più vulnerabili. Basta che una sola chiave API sia compromessa affinché un utente malintenzionato possa accedere a tutta l’infrastruttura critica!».
Controllare lo sprawl
Le API continueranno a rappresentare un fattore essenziale per l’economia digitale: un importante motore per l’innovazione e per generare valore. Nonostante esse siano una grossa opportunità di business, la loro crescita ci pone di fronte a minacce che devono essere gestite in modo coordinato per evitare che le criticità emergenti di oggi diventino in futuro problemi sistemici su larga scala.
Come concluso da Narayanan: «L’API sprawl è inevitabile nell’architettura software moderna. Non possiamo evitarlo, quindi dobbiamo trovare un modo per affrontarlo in modo pratico e scalabile. Entro il 2030 mi aspetto l’emergere di nuovi servizi offerti come soluzioni SaaS in grado di convalidare e fornire una “source of truth” sulla sicurezza e sulla capacità di supportare le API. Avremo anche bisogno di un inventario di API non più in uso o non supportate, per creare un vero e proprio garbage collector».
In definitiva, come conclude il report, questo è il momento di agire, prima che lo sprawl raggiunga un livello troppo complesso per mantenere il controllo. «Se i dati sono il nuovo petrolio dell’economia digitale, le API potrebbero purtroppo diventare presto la sua nuova plastica, con sottoprodotti che creano scompiglio nell’ecosistema. Per rimanere sane e prosperare nell’economia basata sulle API, è tempo che le organizzazioni si impegnino seriamente a crearle, utilizzarle e gestirle in modo responsabile e sicuro».
[1] Salt Security, The State of API Security – Q1 2021
[2] IBM, 2021 IBM Security X-Force Cloud Threat Landscape Report