Impulsa tu negocio con las API

El impacto que tenga tu producto API en tu estrategia organizativa depende mucho del contexto de tu empresa. Si la principal fuente de ingresos de tu empresa es vender acceso a API a desarrolladores externos (por ejemplo, las API de comunicación de Twilio o la API de pagos de Stripe), entonces la estrategia de tu producto API estará muy entrelazada con la estrategia de tu empresa. Si la API funciona bien, la empresa se beneficia; si la API sufre, la empresa fracasa. El producto API se convierte en el principal canal de valor de tu organización, y su arquitectura y modelo de negocio estarán implícitamente alineados con los objetivos de la empresa.

Sin embargo, la mayoría de las organizaciones tienen negocios "tradicionales" preexistentes a los que darán soporte las API. En estos casos, una API no se convertirá en la nueva fuente principal de ingresos a menos que la empresa realice un cambio importante en su estrategia. Por ejemplo, un banco que lleva cientos de años operando puede abrir una API a desarrolladores externos en apoyo de una iniciativa de "banca abierta". Centrarse únicamente en el modelo de negocio de la API podría llevar a adoptar un modelo de ingresos para la API: cobrar a los desarrolladores por el acceso a las funciones bancarias basadas en la API. Pero pensando en el panorama general para el banco, esta estrategia de la API sería perjudicial porque crea una barrera al uso. En su lugar, la API bancaria puede ofrecerse gratuitamente (con pérdidas) con la esperanza de aumentar el alcance digital del banco, lo que conllevaría un aumento de las ventas de los productos bancarios básicos.

La estrategia de API no es sólo para las API que se ofrecen al mundo exterior; también es un pilar importante para tus API internas. Eso significa que también tendrás que definir una estrategia de producto para ellas. La única diferencia real entre la estrategia de las API internas y la de las externas estriba en los usuarios a los que sirven. Para ambos tipos de API, el trabajo de comprender por qué necesita existir la API y cómo puede satisfacer esa necesidad sigue siendo el mismo. Sea cual sea el contexto de tu API, merece la pena desarrollar un objetivo estratégico para la API que aporte valor a tu organización.

Una vez que tengas un objetivo estratégico para tu producto API, tendrás que desarrollar un conjunto de tácticas que te ayuden a conseguirlo.

Definir las tácticas

Para alcanzar un objetivo estratégico de la API tendrás que crear un plan para tu producto que te lleve hasta allí. Tendrás que desarrollar un conjunto de tácticas para tu trabajo que te ofrezca las mayores posibilidades de éxito. Esencialmente, tu estrategia guía todo el trabajo basado en decisiones que realizarás en los otros nueve pilares. El reto está en comprender el vínculo entre cada uno de esos ámbitos de trabajo basados en decisiones y tu objetivo.

Veamos algunos ejemplos:

Objetivo: aumentar las capacidades alineadas con el negocio en tu plataforma

Si el objetivo es crear un conjunto mayor de API alineadas con la empresa, tu táctica debe incluir algunos cambios en la forma de diseñar y crear tu API en primer lugar. Por ejemplo, probablemente querrás implicar a las partes interesadas de la empresa en las primeras fases del diseño de tu API, para asegurarte de que se exponen las capacidades adecuadas a través de tu interfaz. También es probable que sigas su ejemplo a la hora de comprender quiénes son los usuarios principales y cuáles deben ser los límites de la API.

Objetivo: monetizar los activos internos

Un enfoque de monetización requiere un conjunto de tácticas que te ayuden a llevar tu producto a una comunidad de usuarios que lo encuentre valioso. También suele significar que estarás operando en un mercado competitivo, por lo que la experiencia del desarrollador (DX) al utilizar tu API se vuelve muy importante. Tácticamente, eso significa una mayor inversión en los pilares de trabajo de diseño, documentación y descubrimiento. También significa que tendrás que hacer algunos estudios de mercado para identificar al público adecuado para tu API y asegurarte de que tienes el tipo de producto adecuado para ellos.

Objetivo: cosechar ideas de negocio

Si el objetivo es encontrar ideas innovadoras fuera de tu empresa, tendrás que desarrollar un conjunto de tácticas que fomenten el uso de tu API de forma innovadora. Eso significará comercializar la API de cara al exterior y diseñarla para que resulte atractiva a una comunidad de usuarios que aporte el mayor valor innovador potencial. También tiene sentido invertir mucho en el pilar del descubrimiento para asegurarte de que puedes impulsar el uso al máximo, a fin de cosechar el mayor número posible de ideas. Del mismo modo, necesitarás una táctica clara para identificar las mejores ideas y seguir desarrollándolas.

Como podemos ver en estos tres ejemplos, tendrás que hacer lo siguiente para desarrollar tácticas sólidas para tu API:

• Identifica qué pilares son esenciales para el éxito.

• Identifica qué comunidades de usuarios impulsarán el éxito.

• Reúne datos contextuales para impulsar tu labor de toma de decisiones.

Adaptar tu estrategia

Aunque es importante desarrollar buenas tácticas cuando empiezas a crear tu API, también es esencial que tu estrategia siga siendo fluida y esté preparada para cambiar. No sirve de nada fijar tu objetivo estratégico y tu plan táctico una vez y luego marcharte. En lugar de eso, tendrás que ajustar tu estrategia en función de los resultados que obtengas con tu producto. Si no estás haciendo ningún progreso, tendrás que hacer algunos cambios en tus tácticas, tal vez ajustar tu objetivo o incluso desechar la API y empezar de nuevo.

Trazar tu progreso estratégico significa que necesitarás tener una forma de medir los resultados de tu API. De hecho, es esencial que tengas un conjunto de medidas para tus objetivos estratégicos; de lo contrario, nunca sabrás lo bien que lo estás haciendo. Hablaremos más sobre objetivos y mediciones para las API en el capítulo 7, cuando presentemos los OKR y los KPI para las API. La medición también depende de tener una forma de recopilar datos sobre la API, así que también tendrás que invertir en el pilar del monitoreo.

También debes estar preparado para cambiar tu estrategia si cambia el contexto de tu API: por ejemplo, si tu organización cambia su objetivo estratégico, aparece un nuevo competidor en tu mercado o el gobierno introduce un nuevo tipo de normativa. En cada uno de estos casos, ser rápido en la adaptación puede aumentar enormemente el valor que aporta tu API. Pero el cambio estratégico está limitado por la capacidad de cambio de tu API, por lo que el pilar de la gestión del cambio (que se trata más adelante en este capítulo) es una inversión esencial.

Decisiones clave para la gobernanza de la estrategia

¿Cuál es el objetivo y el plan táctico de la API?

Definir un objetivo y un plan para alcanzarlo es una parte esencial del trabajo de estrategia. Es importante considerar cuidadosamente cómo debe distribuirse este trabajo de decisión. Puedes permitir que los equipos individuales definan sus propios objetivos y tácticas para aprovechar la optimización local, o puedes centralizar la planificación de objetivos para mejorar la optimización del sistema. Si optas por descentralizar el trabajo de estrategia de la API, tendrás que crear incentivos y controles para evitar que una sola API cause un daño irreparable. Por ejemplo, centralizar el paso de autorización de una decisión de fijación de objetivos puede ralentizar el proceso, pero puede evitar problemas inesperados.

¿Cómo se mide el impacto estratégico?

El objetivo de la API es una definición local, pero también tendrás que gobernar lo bien que ese objetivo se alinea con los intereses de la organización. Esa medición puede estar descentralizada y dejarse en manos de tus equipos de API, o puede estar centralizada y estandarizada. Por ejemplo, puedes introducir un proceso coherente con métricas estandarizadas que los equipos deban seguir para los informes de la API. Esto te proporciona la ventaja de disponer de datos coherentes para el análisis a nivel de sistema.

¿Cuándo cambia la estrategia?

A veces es necesario cambiar los objetivos, pero ¿quién puede tomar esa decisión? El problema de cambiar el objetivo de una API es que suele tener un gran impacto, tanto para la propia API como para las personas que dependen de ella. Aunque des libertad a tus equipos para fijar el objetivo de una nueva API, tendrás que introducir más controles para los cambios de objetivo, sobre todo cuando la API haya entrado en una fase de uso intenso.

¿Qué es un buen diseño?

Si has hecho el trabajo de establecer una estrategia para tu API, entonces ya has definido un objetivo estratégico para tu API. Tenemos que averiguar cómo el diseño de la interfaz puede ayudarte a acercarte a ese objetivo. Como vimos en "Estrategia", se te pueden ocurrir muchos objetivos y tácticas diferentes para una API. Pero, en general, todas se reducen a elegir entre dos objetivos comunes:

• Consigue más usuarios de la API.

• Reduce los costes de desarrollo por el uso de la API.

En la práctica, necesitarás una visión mucho más matizada de la estrategia si quieres ser eficaz. Pero generalizando los objetivos de esta forma, podemos hacer una observación importante: un buen diseño de la interfaz te ayudará a conseguir estos dos objetivos generalizados. Si la experiencia general de uso de la API es buena, más usuarios estarán dispuestos a utilizarla. El diseño de la interfaz desempeña un papel importante en la experiencia del desarrollador de tu API, por lo que un buen diseño de la interfaz debería conducir a una mayor captación de usuarios. Además, una buena interfaz es la que hace más difícil hacer las cosas incorrectas y más fácil hacer las que resuelven los problemas del usuario. Eso se traduce en un menor esfuerzo de desarrollo para el software que escribas cuando utilices una API bien diseñada.

Por tanto, merece la pena invertir en un buen diseño de interfaz. Pero no hay un conjunto concreto de decisiones que haga que una interfaz sea "buena". La calidad de tu interfaz depende totalmente de los objetivos de tus usuarios. Mejorar la usabilidad y la experiencia es imposible si no sabes para quién estás diseñando. Afortunadamente, si ya has establecido por qué estás construyendo esta API, debería ser un ejercicio bastante sencillo averiguar para quién estás diseñando. Dirígete a esa comunidad de usuarios y toma decisiones de diseño que mejoren su experiencia al utilizar tu API.

Utilizar un método de diseño

Para obtener los mejores resultados de tu trabajo de diseño de interfaces, lo mejor es utilizar un método o proceso. Gran parte de la creación de un diseño consiste en hacer conjeturas o suposiciones sobre lo que crees que funcionará. Tienes que empezar por algún sitio, así que puede que empieces copiando la interfaz de una API que te guste o siguiendo las orientaciones de una entrada de blog. Eso está perfectamente bien. Pero si quieres maximizar el valor que proporciona tu interfaz de diseño, necesitarás una forma de poner a prueba esas suposiciones y asegurarte de que las decisiones que has tomado son las mejores.

Por ejemplo, podríamos decidir adoptar el siguiente proceso ligero:

1. Elabora un prototipo de interfaz.

2. Escribir nuestro propio cliente que utilice el prototipo.

3. Actualiza el prototipo en función de lo que hayamos aprendido y pruébalo una vez más.

Un proceso más pesado podría ser así:

1. Celebra una reunión inicial de diseño con todas las partes interesadas (es decir, usuarios, partidarios y ejecutores).

2. Diseña un vocabulario para la interfaz.

3. Realiza encuestas a la comunidad de usuarios.

4. Crea un prototipo.

5. Prueba el prototipo con las comunidades de usuarios objetivo.

6. Valida el prototipo con los ejecutores.

7. Itera lo que sea necesario.

La gran diferencia entre estos dos ejemplos es la cantidad de inversión que tendrías que hacer y la cantidad de información que reunirías. Decidir cuánto invertir en el proceso de diseño es una decisión estratégica. Por ejemplo, probablemente escudriñarás más la interfaz de una API externa que se venda en un mercado competitivo que la de una API interna que utilice tu propio equipo de desarrollo. Pero recuerda que incluso un proceso de diseño ligero puede reportar grandes dividendos.

Decisiones clave para la gobernanza del diseño

¿Cuáles son los límites del diseño?

Un equipo de API de sin limitaciones de diseño puede crear un modelo de interfaz que maximice la usabilidad y la experiencia de sus usuarios. Pero la usabilidad está centrada en el usuario y se produce a costa de la flexibilidad para los usuarios en general. Esto significa que este tipo de optimización local tiene un impacto en el sistema. Si estás produciendo muchas API y los usuarios van a necesitar utilizar más de una de ellas, tendrás que introducir algunas restricciones en torno a las decisiones de diseño. Eso significa que tendrás que centralizar el trabajo de diseño o centralizar la selección de opciones que tienen los diseñadores. Algunos equipos centralizados publican una "guía de estilo" para documentar este tipo de restricciones de diseño; puede incluir los vocabularios, estilos e interacciones que están oficialmente permitidos.

¿Cómo se comparten los modelos de interfaz?

Decidir cómo debe compartirse el modelo de una interfaz significa decidir cómo debe persistir el trabajo de diseño de la API. Por ejemplo, si centralizas completamente esta decisión, puedes decidir que todos los equipos de API deben proporcionar los diseños en el formato de descripción OpenAPI. Esto tiene el inconveniente de limitar todas las posibles opciones de diseño a las opciones disponibles en la Especificación OpenAPI, pero también facilita compartir el trabajo entre equipos y utilizar herramientas y automatización coherentes en todo el sistema.

Métodos de documentación

Tú puedes ofrecer la documentación de la API de muchas formas distintas: puedes proporcionar una referencia similar a una enciclopedia sobre los recursos de tu API, puedes ofrecer tutoriales y contenido conceptual, e incluso puedes proporcionar aplicaciones de ejemplo muy documentadas y complejas para que los usuarios las copien y aprendan de ellas. Existe una increíble variedad de estilos, formatos y estrategias de documentación técnica. Para facilitar las cosas, dividiremos la documentación de la API en dos prácticas amplias y fundamentales: el método de enseñar sin contar y el método de contar sin enseñar. Según nuestra experiencia, tendrás que adoptar ambos enfoques si quieres crear la mejor experiencia de aprendizaje para tus usuarios.

El enfoque de la documentación tell don't teach se centra en comunicar hechos sobre tu API que ayuden a los usuarios a utilizarla. Documentar la lista de códigos de error de tu API y proporcionar una lista de los esquemas de cuerpo de mensaje que utiliza son ejemplos de este enfoque basado en hechos. Este tipo de documentación proporciona a tus usuarios una guía de referencia para tu interfaz. Como es muy factual, es bastante fácil de diseñar y desarrollar. De hecho, es posible que puedas utilizar herramientas para producir este estilo de documentación muy rápidamente, sobre todo si el diseño de la interfaz se ha serializado en un formato legible por máquina (consulta "Formatos de descripción de la API"). En general, este tipo de información objetiva sobre los detalles y el comportamiento de la interfaz requiere menos esfuerzo de diseño y toma de decisiones por parte de tu equipo. Las decisiones clave tienen que ver con elegir qué partes de la API deben documentarse, más que con cómo transmitir esa información de la mejor manera.

Por el contrario, el enfoque de enseñar sin contar de la documentación se centra en diseñar una experiencia de aprendizaje. En lugar de limitarse a exponer los hechos para que los lectores los examinen, este enfoque proporciona una experiencia de aprendizaje personalizada a los usuarios. El objetivo es ayudar a los usuarios de tu API a alcanzar sus objetivos de usabilidad, al tiempo que aprenden a utilizar tu API de forma específica y centrada. Por ejemplo, si tienes una API de mapas, puedes escribir un tutorial de seis pasos que enseñe a tus usuarios a recuperar la información GPS de una dirección. De esta forma puedes ayudarles a realizar una tarea bastante típica con un nivel mínimo de esfuerzo.

Pero la documentación no tiene por qué ser pasiva. Es útil leer referencias, guías y tutoriales, pero también puedes implementar herramientas que ayuden a tus usuarios a conocer tu API de una forma más interactiva. Por ejemplo, puedes proporcionar una herramienta exploradora de API basada en web que permita a tus usuarios enviar solicitudes a tu API en tiempo real. Una buena herramienta exploradora de API es más que una herramienta "tonta" de solicitud de red; guía la experiencia de aprendizaje proporcionando una lista de actividades, vocabularios, sugerencias y correcciones al usuario. La gran ventaja de las herramientas interactivas es que acortan el bucle de retroalimentación para los usuarios: el ciclo de aprender algo, intentar aplicar lo aprendido y aprender de los resultados. Sin herramientas, tus usuarios tendrán que dedicar tiempo a escribir código o a buscar y utilizar herramientas externas, lo que puede dar lugar a un bucle mucho más largo.

Invertir en documentación

Si en sólo proporcionas un tipo de documentación de la API, lo más probable es que estés desatendiendo a tu comunidad de usuarios. Los distintos usuarios tienen necesidades diferentes, y tendrás que atender a cada una de ellas si te importa su experiencia de aprendizaje. Por ejemplo, los nuevos usuarios pueden beneficiarse mucho del enfoque "enseñar sin contar " de la documentación, porque es prescriptivo y fácil de seguir, pero los usuarios experimentados en tu API apreciarán tu documentación "contar sin enseñar", porque pueden navegar rápidamente hasta los datos que necesitan. Del mismo modo, las herramientas interactivas pueden resultar atractivas para los usuarios que disfrutan de una experiencia en vivo, pero no serán geniales para los usuarios que prefieren comprender y planificar, o simplemente tienen preferencia por la lectura.

En la práctica, proporcionar toda esta documentación para tu API puede ser costoso. Al fin y al cabo, alguien tiene que diseñarla y escribirla, y no sólo una vez, sino durante toda la vida de tu API. En de hecho, una de las dificultades del trabajo de documentación de la API consiste en mantenerla sincronizada con los cambios de interfaz e implementación. Si la documentación es incorrecta, los usuarios pueden quedar descontentos muy rápidamente. Así que tendrás que tomar decisiones inteligentes sobre cuánto esfuerzo de documentación es sostenible para tu producto API.

El factor clave a la hora de tomar tu decisión sobre la inversión en documentación debe ser el valor de mejorar la experiencia de aprendizaje de la API para tu organización. Por ejemplo, una buena documentación puede ayudar a diferenciar un producto de API pública de sus competidores. También puede ser de gran ayuda para una API interna utilizada por desarrolladores que no están familiarizados con el sistema, la empresa o el sector del propietario de la API. El nivel de inversión en documentación para una API pública que opere en un mercado competitivo será normalmente mayor que para una interna, y eso está bien. En última instancia, tendrás que decidir cuánta documentación es suficiente para tu API. La buena noticia es que siempre es posible aumentar esa inversión a medida que crece tu API.

Decisiones clave para la gobernanza de la documentación

¿Cómo debe diseñarse la experiencia de aprendizaje?

Las decisiones en torno al diseño de la experiencia de aprendizaje a menudo se rigen por separado del diseño, implementación y despliegue de una API. Si tienes muchas API, tus usuarios agradecerán tener una experiencia de aprendizaje única y coherente para todas ellas. Pero, centralizar esta decisión conlleva los costes habituales: menos innovación y más limitaciones para los equipos de API, así como un posible cuello de botella de redacción técnica centralizada. Tendrás que equilibrar la necesidad de coherencia con la cantidad de variedad e innovación que necesitas apoyar. Una opción es introducir un modelo híbrido en el que la mayoría de las API tengan una documentación centralizada, pero se permita a los equipos crear sus propias experiencias de aprendizaje si están probando algo nuevo.

¿Cuándo debe redactarse la documentación?

Existe una sorprendente variabilidad en cuanto al momento en que un equipo debe empezar a escribir su documentación. Escribir pronto es más caro debido a la probabilidad de que se produzcan cambios en el diseño y la implementación, pero puede sacar a la luz problemas de usabilidad desde el principio, lo que hace que merezca la pena. Tendrás que decidir si se trata de una decisión que puede descentralizarse con seguridad o si necesita una gestión más centralizada. Por ejemplo, ¿necesita cada API, independientemente de su uso previsto, tener documentación escrita antes de que pueda publicarse? ¿O deben los equipos utilizar su mejor criterio para tomar esa decisión?

Utilizar marcos y herramientas

En cualquier proceso de desarrollo típico se utiliza una gran variedad de herramientas, pero para el desarrollo de API, nos interesa una categoría específica de herramientas: las que te ayudan a descargarte de las decisiones relacionadas con la API y del esfuerzo de desarrollo que supone crear una nueva versión de la API. Esto incluye marcos que facilitan la tarea de escribir código API, así como herramientas independientes que ofrecen una implementación "sin código" o "de bajo código".

Una herramienta de especialmente popular en el espacio de la gestión de API es la pasarela de API. Una pasarela API es una herramienta basada en servidor que está diseñada para reducir el coste de la implementación de API en una red. Suelen estar diseñadas para ser altamente escalables, fiables y seguras; de hecho, mejorar la seguridad de la implementación de una API suele ser la principal motivación para introducir una pasarela en la arquitectura de un sistema. Son útiles porque pueden reducir en gran medida el coste de desarrollo de una instancia de API.

El coste de desarrollo disminuye cuando utilizas una herramienta como una pasarela, porque está construida para resolver la mayoría de tus problemas. De hecho, en la mayoría de los casos, estas herramientas requieren muy poco esfuerzo de programación. Por ejemplo, una pasarela API HTTP decente debería estar preparada para escuchar solicitudes en un puerto HTTPS, analizar cuerpos de solicitud JSON e interactuar con una base de datos nada más sacarla de la caja, con sólo un poco de configuración necesaria para hacerla funcionar. Por supuesto, todo esto no ocurre por arte de magia; alguien ha tenido que programar esta herramienta para hacer todas estas cosas. Al final, estás trasladando el coste del desarrollo de la API a una agencia externa.

Cuando las herramientas funcionan bien, son un regalo del cielo. Pero el coste de utilizar herramientas como las pasarelas API es que sólo pueden hacer aquello para lo que están diseñadas. Al igual que con cualquier pieza de maquinaria, tu flexibilidad está limitada a las funciones que proporciona la máquina. Por tanto, elegir la herramienta adecuada se convierte en una importante decisión de desarrollo. Si tu estrategia de API y el diseño de la interfaz te llevan en la dirección de hacer un montón de cosas no estándar, puede que tengas que asumir tú mismo un mayor esfuerzo de desarrollo.

La relación entre interfaz e implementación

Apoyo a la estrategia y el diseño de la interfaz de tu API es realmente el objetivo principal de tu trabajo de desarrollo. Por muy buena que sea tu arquitectura y muy fácil de mantener que sea tu código, si la API no hace lo que el diseño de la interfaz dice que debe hacer, has fracasado. Podemos sacar dos conclusiones de esta afirmación:

• Ajustarse a tu diseño de interfaz publicado es una métrica de calidad importante para tu implementación.

• Tendrás que mantener actualizada tu implementación cada vez que cambies la interfaz.

Eso significa que no puedes desarrollar tu API hasta que tengas un diseño de interfaz. También significa que las personas que realizan tu trabajo de desarrollo necesitan una forma fiable de entender cómo es la interfaz y cuándo cambia. Un gran riesgo para tu producto API es que el equipo de diseño decida un diseño de interfaz que sea poco práctico o imposible de implementar correctamente. Si el diseñador de la interfaz y el desarrollador de la implementación son la misma persona o están en el mismo equipo, no es un gran problema, pero si no es así, asegúrate de que el equipo de implementación examine la interfaz como parte de tu método de diseño de la API.

Decisión clave para la gobernanza del desarrollo

¿Qué se puede utilizar para la aplicación?

Esta es la pregunta central de gobierno para la implementación. Es una pregunta amplia e incluye muchas decisiones dentro de ella: ¿qué bases de datos, lenguajes de programación y componentes del sistema puedes elegir? ¿Qué bibliotecas, marcos y herramientas pueden utilizarse para apoyar el trabajo? ¿Con qué proveedores tienes que trabajar? ¿Se te permite utilizar código fuente abierto?

En el momento de escribir esto, ha habido mucho interés en descentralizar este tipo de decisiones para mejorar la optimización local. Hemos sabido de muchas empresas que han descubierto que sus API son más eficientes, más fáciles de construir y más fáciles de mantener cuando se da más libertad de implementación a los equipos. Pero la descentralización conlleva los costes habituales: menos coherencia y menos oportunidades de optimización del sistema. En la práctica, esto significa que puede ser más difícil para la gente moverse entre equipos, y hay menos oportunidades de obtener economías de escala y menos visibilidad sobre la implementación en general.

Según nuestra experiencia, proporcionar más libertad de implantación merece la pena, pero tendrás que considerar cuánta libertad de decisión puede permitirse tu sistema. Una forma de facilitar el apoyo a las decisiones de implantación descentralizadas es centralizar el elemento de selección, lo que significa centralizar las opciones tecnológicas y descentralizar al mismo tiempo la selección y la autoridad del equipo sobre ellas.

¿Qué hay que probar?

El objetivo principal de probar tu API es asegurarte de que puede cumplir el objetivo estratégico que deberías haber definido durante su creación. Pero, como hemos visto a lo largo de este capítulo, ese objetivo estratégico es posible gracias al trabajo basado en decisiones de los 10 pilares. Por tanto, el objetivo secundario de las pruebas de la API es garantizar que todo el trabajo que has realizado en nuestros pilares tiene la calidad suficiente para respaldar la estrategia. Por ejemplo, si la usabilidad y la facilidad de aprendizaje de tu API son muy bajas, eso podría afectar a un objetivo estratégico de captar más usuarios de la API. Eso significa que tienes que definir pruebas específicas para evaluar la calidad de la interfaz. También tienes que comprobar que el trabajo que has hecho es coherente internamente. Por ejemplo, tendrás que comprobar que la implementación que has desarrollado es coherente con la interfaz que has diseñado.

Aquí tienes una lista típica de categorías de pruebas que utilizan los propietarios de API:

Pruebas de usabilidad y UX

Identifica errores de usabilidad en la interfaz, la documentación y el descubrimiento. Por ejemplo: proporciona la documentación de la API a los desarrolladores y realiza pruebas de observación "por encima del hombro" mientras intentan escribir código cliente utilizándola.

Pruebas unitarias

Identifica errores dentro de la implementación a un nivel granular. Por ejemplo: ejecuta una prueba JUnit contra un método Java en el código de la implementación de la API en cada compilación.

Pruebas de integración

Identifica los errores de implementación y de interfaz realizando llamadas a la API contra una instancia. Por ejemplo: ejecuta un script de prueba que realice llamadas a la API contra una instancia en ejecución de la API en un entorno de desarrollo.

Pruebas de rendimiento y carga

Identifica errores no funcionales en las instancias de la API desplegadas y en los entornos de las instancias. Por ejemplo: ejecuta un script de prueba de rendimiento que simule una carga de nivel de producción contra una instancia en ejecución de la API en un entorno de prueba similar al de producción.

Pruebas de seguridad

Identifica las vulnerabilidades de seguridad de en la interfaz, la implementación y la instancia de la API. Por ejemplo: contrata a un "equipo tigre" para encontrar vulnerabilidades en una instancia en ejecución de la API en un entorno de pruebas seguro.

Pruebas de producción

Identifica los errores de usabilidad, funcionalidad y rendimiento de después de que el producto de la API se haya publicado en el entorno de producción. Por ejemplo: realiza una prueba multivariante con la documentación de la API en la que se sirvan a distintos usuarios versiones ligeramente diferentes del contenido, y mejora la usabilidad de la documentación basándote en los resultados.

Desde luego, ésta no es una lista exhaustiva, y hay muchas otras pruebas que podrías hacer. De hecho, incluso las pruebas que hemos descrito aquí podrían desglosarse en muchas más subcategorías. La gran decisión estratégica que tendrás que tomar en el pilar de las pruebas es cuántas pruebas son suficientes. Lo ideal es que tu estrategia de API te ayude a orientar esta decisión. Si la calidad y la coherencia son una gran prioridad, puede que tengas que dedicar mucho tiempo y dinero a probar tu API antes de lanzarla al mercado. Pero si tu API es experimental, puedes adoptar un enfoque tolerante al riesgo y realizar un nivel mínimo de pruebas. Por ejemplo, cabría esperar que la política de pruebas de la API de pagos de un banco establecido y la API de redes sociales de una startup tuvieran un alcance muy diferente.

Herramientas de prueba de API

Las pruebas pueden ser caras, por lo que resulta útil adoptar mejoras en los procesos que faciliten la mejora de la calidad de tu producto. Por ejemplo, algunas organizaciones han tenido éxito con un método "impulsado por pruebas", en el que las pruebas se escriben antes de crear la implementación o la interfaz. El objetivo de este tipo de enfoque es cambiar la cultura de un equipo para que se centre en las pruebas, de modo que todas las decisiones de diseño den lugar a una implementación más favorable a las pruebas. Cuando funciona, el resultado neto es una API de mayor calidad debido a su comprobabilidad implícita.

Además de las mejoras culturales y de procesos, puedes utilizar herramientas y automatización para reducir el coste de las pruebas. Las herramientas más útiles del arsenal de pruebas de API son los simuladores y los dobles de prueba, o mocks. Esto se debe a que la naturaleza interconectada del software de las API dificulta las pruebas aisladas, por lo que necesitarás alguna forma de simular otros componentes. En concreto, probablemente necesitarás herramientas para simular cada uno de estos componentes:

Cliente

Cuando pruebes tu API, necesitarás algo que pueda simular las peticiones que llegarán de tus clientes de la API. Hay muchas herramientas disponibles que pueden hacer esto por ti. Las buenas te darán suficiente configurabilidad y variabilidad para acercarte mucho a los tipos de mensajes y patrones de tráfico que recibirás en producción.

Backend

Lo más probable es que tu API tenga algunas dependencias propias. Podría tratarse de un conjunto de API internas, una base de datos o un recurso externo de terceros. Para realizar pruebas de integración, rendimiento y seguridad, probablemente necesitarás alguna forma de simular esas dependencias.

Medio ambiente

También necesitarás alguna forma de simular tu entorno de producción cuando realices pruebas de preproducción. Hace años eso podía significar mantener y operar un entorno programado sólo para ese fin. Hoy en día, muchas organizaciones utilizan herramientas de virtualización para abaratar la recreación de entornos para las pruebas.

API

A veces incluso necesitarás simular tu propia API. Puede ser el caso cuando quieras probar uno de tus componentes de apoyo -por ejemplo, un explorador de API en un portal de desarrollo que haga llamadas contra la API-, pero una versión simulada de tu API también es un recurso valioso que puedes ofrecer a los usuarios de tu API. Este tipo de API simulada suele denominarse sandbox, presumiblemente porque es un lugar donde los desarrolladores pueden jugar con tu API y tus datos sin consecuencias. Es una inversión que hay que hacer, pero puede mejorar mucho la experiencia de los desarrolladores con tu API.

Decisiones clave para la gobernanza de las pruebas

¿Dónde deben realizarse las pruebas?

A lo largo de años, los procesos de prueba se han ido descentralizando cada vez más. La gran decisión de gobierno es determinar cuánto quieres centralizar o descentralizar para cada uno de los tipos de etapas de prueba de API que hemos descrito. Centralizar un proceso de pruebas te da más control, pero conlleva el coste de un posible cuello de botella. Parte de esto puede aliviarse con la automatización, pero entonces tendrás que decidir quién configura y mantiene el sistema automatizado. La mayoría de las organizaciones emplean sistemas centralizados y descentralizados. Nuestro consejo es descentralizar las primeras fases de las pruebas por rapidez y centralizar las últimas por seguridad.

¿Cuántas pruebas son suficientes?

Aunque decidas que los equipos individuales pueden ejecutar sus propias pruebas, tal vez quieras centralizar la decisión del nivel mínimo de pruebas que deben realizar. Por ejemplo, algunas empresas utilizan herramientas de cobertura de código que proporcionan informes sobre qué parte del código se ha probado. En términos de métricas y calidad, la cobertura no es perfecta, pero es cuantificable, y te permite establecer un umbral mínimo que todos los equipos deben cumplir. Si cuentas con las personas adecuadas, también puedes descentralizar esta decisión y dejar que los equipos de API individuales hagan lo que sea correcto para sus API.

Afrontar la incertidumbre

Mejorar la calidad de la implementación de una API significa asegurarte de que tus instancias de API se comportan como los usuarios esperan que lo hagan. Obviamente, gran parte del trabajo necesario para que esto ocurra se produce fuera del pilar de la implementación. Tendrás que escribir un código de implementación bueno y limpio, y probarlo rigurosamente si quieres tener menos errores en producción. Pero a veces, incluso cuando tomas todas esas precauciones, ocurren cosas malas en producción. Eso se debe a que hay un alto nivel de incertidumbre e imprevisibilidad con el que lidiar en una API publicada.

Por ejemplo, ¿qué ocurre si se produce un repentino aumento de la demanda de tu producto API? ¿Podrán tus instancias API manejar la carga? ¿O qué pasa si un operador despliega inadvertidamente una versión antigua de una instancia de API, o si un servicio de terceros del que depende tu API deja de estar disponible de repente? La incertidumbre puede surgir de muchos sitios diferentes: de tus usuarios, de errores humanos, de tu hardware y de dependencias externas. Aumentar la seguridad de la implementación requiere que adoptes dos enfoques opuestos al mismo tiempo: eliminar la incertidumbre y, al mismo tiempo, aceptarla.

Un método popular de para eliminar la incertidumbre en las Implementaciones de API es aplicar el principio de inmutabilidad. La inmutabilidad es la cualidad de ser incapaz de cambiar; en otras palabras, ser "sólo de lectura". Puedes aplicar la inmutabilidad de muchas maneras. Por ejemplo, si nunca permites que tus operadores cambien las variables de entorno de un servidor o instalen paquetes de software manualmente, podrías decir que tienes una infraestructura inmutable. Del mismo modo, podrías crear paquetes de implementación de API inmutables, es decir, un paquete desplegable que no pueda modificarse, sólo sustituirse. El principio de inmutabilidad mejora la seguridad porque ayuda a eliminar la incertidumbre introducida por la intervención humana.

Sin embargo, nunca podrás eliminar por completo la incertidumbre. No puedes predecir todas las eventualidades y no puedes probar todas las posibilidades. Por tanto, gran parte de tu trabajo de decisión consistirá en averiguar cómo mantener seguro tu sistema incluso cuando ocurra lo inesperado. Parte de este trabajo se realiza en el nivel de implementación de la API (por ejemplo, escribiendo código defensivo), y parte en el nivel del entorno (por ejemplo, diseñando una arquitectura de sistema resistente), pero gran parte del trabajo debe realizarse en el nivel de implementación y operaciones. Por ejemplo, si puedes monitorear continuamente la salud de tus instancias de la API y los recursos del sistema, puedes encontrar problemas y solucionarlos antes de que afecten a tus usuarios.

Un tipo de incertidumbre que te verás obligado a aceptar viene en forma de cambios en la API. Aunque sería agradable congelar todos los cambios una vez que hayas conseguido que tu API funcione de forma fiable, el cambio es una inevitabilidad para la que tendrás que prepararte. De hecho, desplegar los cambios lo más rápidamente posible debería ser un objetivo de tu trabajo de implementación.

Automatización de la Implementación

En realidad, sólo hay dos formas de acelerar tus Implementaciones: hacer menos trabajo y hacer el trabajo más rápidamente. A veces puedes conseguirlo introduciendo cambios en tu forma de trabajar, por ejemplo, adoptando una forma diferente de trabajar o introduciendo un nuevo tipo de cultura. Es difícil, pero puede ayudar mucho. Profundizaremos en este tema más adelante, cuando hablemos de las personas y los equipos en el Capítulo 8.

Otra forma de ir más rápido es sustituir las tareas de implementación humanas por la automatización. Por ejemplo, si automatizas el proceso de prueba, construcción e implementación del código de tu API, podrás realizar lanzamientos con sólo pulsar un botón.

Las herramientas de Implementación y automatización pueden ser una ganancia rápida, pero ten en cuenta los costes a largo plazo. Introducir la automatización en tu flujo de trabajo es como introducir maquinaria en una fábrica: mejora la eficacia, pero limita tu flexibilidad. La automatización también conlleva costes de puesta en marcha y mantenimiento. Es poco probable que funcione nada más sacarla de la caja, y es poco probable que se adapte por sí sola a tus necesidades y contexto cambiantes. Así que, cuando mejores tu sistema con la automatización, prepárate para pagar esos costes a lo largo del tiempo, es decir, los costes de mantenimiento de esa maquinaria, así como su eventual sustitución.

Decisiones clave para la gobernanza de la Implementación

¿Quién decide cuándo puede producirse una liberación?

La pregunta de quién puede liberar es fundamental para la gobernanza de la implementación. Si tienes gente con talento en la que puedes confiar, una arquitectura tolerante a fallos y un dominio empresarial que puede excusar algún fallo ocasional, podrías descentralizar completamente la decisión. De lo contrario, tendrás que averiguar qué partes de esta decisión deben centralizarse. La distribución de esta decisión suele ser matizada. Por ejemplo, podrías habilitar la función "empujar para liberar" para los miembros del equipo de confianza, o liberar a un entorno de pruebas donde un equipo centralizado pueda tomar una decisión de "adelante/no adelante". Distribuye de un modo que se ajuste a tus limitaciones y permita la mayor velocidad, con el nivel adecuado de seguridad a escala.

¿Cómo se empaquetan las Implementaciones?

En los últimos años, la cuestión de cómo se empaqueta y entrega el software ha adquirido una enorme importancia. Ha resultado ser el tipo de decisión que puede cambiar gradualmente todo un sistema en otra dirección. Por ejemplo, la creciente popularidad de la implementación en contenedores ha abaratado y facilitado la creación de implementaciones inmutables y aptas para la nube. Tendrás que considerar quién debe tomar esta importante decisión para tu organización. Un responsable de la toma de decisiones descentralizado y optimizado localmente puede no comprender las repercusiones para la seguridad, la compatibilidad y la escala, pero un responsable de la toma de decisiones puramente centralizado puede no tener una solución que se adapte a la variedad de implementaciones y software que se despliega. Como siempre, es útil algún tipo de restricción de elección y distribución de la decisión.

Más allá de la mera cuestión de centralización y descentralización, también tendrás que considerar qué equipo está mejor situado para tomar la decisión de mayor calidad. ¿Deben los equipos de operaciones y middleware definir las opciones de empaquetado? ¿Un equipo de arquitectura? ¿O deben ser los equipos de implementación los que tomen la decisión? La distribución del talento es un factor clave aquí: ¿qué equipos tienen a las personas que pueden hacer las mejores evaluaciones?

Adoptar un enfoque holístico

Para que mejore realmente la seguridad de tu API, tendrás que hacer que forme parte del proceso de toma de decisiones de todos los pilares que hemos descrito en este capítulo. Una gran parte de ello es el trabajo de implementar funciones de seguridad en tiempo de ejecución. Para empezar, tendrás que extraer identidades, autenticar clientes y usuarios finales, autorizar el uso e implementar límites de velocidad. Puedes escribir mucho de esto tú mismo, o puedes adoptar el enfoque más seguro y rápido de implementar herramientas y bibliotecas que lo hagan por ti.

Pero la seguridad de la API incluye muchas cosas que ocurren fuera de la interacción del software cliente-API. Los cambios culturales pueden mejorar la seguridad inculcando a ingenieros y diseñadores la mentalidad de que la seguridad es lo primero. Se pueden implantar procesos para evitar que los cambios inseguros lleguen a producción o permanezcan en producción. Se puede revisar la documentación para asegurarse de que no filtra información inadvertidamente. Se puede formar al personal de ventas y asistencia para que no facilite inadvertidamente datos privados ni colabore en un ataque de ingeniería social.

Por supuesto, lo que acabamos de describir es mucho más amplio que el ámbito tradicional de la seguridad de las API. Pero lo cierto es que la seguridad de las API no puede existir por sí sola. Forma parte de un sistema interconectado y debe considerarse como un elemento más de un enfoque holístico de la seguridad de tu empresa. No sirve de nada pretender que es una isla en sí misma sin conexión con tu estrategia de seguridad más amplia. Las personas que quieran explotar tu sistema seguro que no lo tratarán así.

Por tanto, tendrás que tomar decisiones sobre cómo integrar tu trabajo de API con la estrategia de seguridad de tu empresa. A veces eso es bastante fácil de hacer, y otras veces es más difícil. Uno de los grandes retos de las API consiste en equilibrar el deseo de apertura y usabilidad con el deseo de bloquear las cosas. Lo lejos que llegues en uno u otro sentido debe ser producto de tu estrategia organizativa y de los objetivos estratégicos de tu API.

Decisiones clave para la gobernanza de la seguridad

¿Qué decisiones hay que autorizar?

Todas las decisiones que toman las personas en tu organización tienen el potencial de introducir una vulnerabilidad de seguridad, pero es imposible escudriñar cada decisión que se toma. Tendrás que determinar qué decisiones tienen el mayor impacto en la seguridad de tu API y asegurarte de que esas decisiones son las mejores. Eso va a depender mucho de tu contexto. ¿Hay zonas "de confianza" en tu arquitectura que necesitan tener "perímetros" seguros? ¿Tienen ya experiencia en buenas prácticas de seguridad los diseñadores e implementadores? ¿Todo el trabajo se realiza internamente o trabajas con terceros? Todos estos factores contextuales pueden cambiar tu enfoque de la autorización de decisiones.

¿Cuánta seguridad necesita una API?

Una gran parte del aparato de seguridad es la normalización de las decisiones de trabajo para proteger el sistema y a sus usuarios. Por ejemplo, puedes tener normas sobre dónde pueden almacenarse los archivos o qué algoritmos de encriptación deben utilizarse. Una mayor estandarización disminuye la libertad de los equipos y las personas para innovar. En el caso del contexto de la seguridad, esto suele justificarse por el impacto de tomar una única decisión equivocada, pero no todas las API necesitan necesariamente el mismo nivel de escrutinio y protección. Por ejemplo, una API utilizada por desarrolladores externos para transacciones financieras necesitará más inversión en seguridad que una API utilizada para registrar datos de rendimiento. Pero, ¿quién toma esa decisión?

Como siempre, el contexto, el talento y la estrategia son las consideraciones clave. Centralizar esta decisión permite a un equipo de seguridad hacer una evaluación general basada en su comprensión del contexto del sistema. Sin embargo, a veces este tipo de normas generalizadas hacen posible que las cosas se escapen entre las grietas, especialmente cuando los equipos de API están haciendo cosas nuevas e innovadoras que el equipo centralizado no podría haber tenido en cuenta. Si la decisión está distribuida, los propios equipos pueden tomar una decisión de evaluación, pero esto requiere un nivel decente de conocimientos de seguridad dentro del propio equipo. Por último, si operas en un ámbito que prioriza la seguridad y la mitigación de riesgos, puedes acabar forzando el máximo nivel de seguridad sobre todo, sin tener en cuenta el contexto local y el impacto sobre la velocidad.

12 Principios de seguridad de la API

Derivada de la lista de comprobación de seguridad de Yuri Subach aplicada a las API, la siguiente es una lista de comprobación de los 12 principios fundamentales de la seguridad de las API que puedes utilizar para guiar a tu equipo hacia unas API seguras y protegidas:

Confidencialidad de la API

Limitar el acceso de a la información es la primera regla de la seguridad de la API. El recurso accesible a través de la API debe estar disponible sólo para usuarios autorizados, y protegido de destinatarios no deseados durante el tránsito, el procesamiento o en reposo.

Integridad de la API

La información proporcionada por la API debe ser siempre fiable y precisa. El recurso debe estar protegido de alteraciones, modificaciones o supresiones intencionadas y no intencionadas, y los cambios no deseados deben detectarse automáticamente.

Disponibilidad de la API

Disponibilidad es una garantía de acceso fiable a la información por parte de las personas autorizadas. La disponibilidad viene acompañada de sus requisitos, a nivel de infraestructura y aplicación, combinados con procesos de ingeniería adecuados en la organización.

Economía de mecanismo

Diseño de la API y la implementación del sistema deben ser lo más sencillas posible. Las API complejas son difíciles de inspeccionar y mejorar, y son más propensas a errores. Desde el punto de vista de la seguridad y la usabilidad, el minimalismo es algo bueno.

Valores predeterminados de la API a prueba de fallos

El acceso a cualquier punto final/recurso de la API debe denegarse por defecto, y el acceso sólo debe concederse en caso de permiso específico. Una buena seguridad de la API sigue el esquema de protección "cuando debe concederse el acceso" y no sigue el esquema de protección "cuando debe restringirse el acceso".

Mediación completa

El acceso a todos los recursos de una API debe estar siempre validado. Cada punto final debe estar equipado con un mecanismo de autorización. Este principio lleva las consideraciones de seguridad al nivel de todo el sistema.

Diseño de API abierta

Un buen diseño de la seguridad de la API no debe ser un secreto y debe documentarse y basarse en normas de seguridad definidas y protocolos abiertos. La seguridad de la API implica a todas las partes interesadas de la organización y puede incluir también a socios o consumidores.

Mínimo privilegio API

Cada consumidor de API del sistema debe funcionar con los permisos de API mínimos necesarios para realizar su trabajo. Esto limita el daño causado por un accidente o error relacionado con este consumidor específico de la API.

Aceptabilidad psicológica

Una implementación eficaz de la seguridad de la API de debe proteger un sistema, pero sin obstaculizar a los usuarios del mismo para que lo utilicen adecuadamente ni disuadirles de seguir todos los requisitos de seguridad. El nivel de seguridad de la API debe ajustarse al nivel de amenaza. Un mecanismo de seguridad de API pesado para recursos no sensibles puede ser desproporcionado en términos de esfuerzos para los consumidores.

Minimizar la superficie de ataque de la API

Limitar superficie de ataque de una API es la minimización de lo que puede ser explotado por usuarios malintencionados. Para reducir el área de ataque superficial de la API, puedes exponer sólo lo necesario y limitar el daño del área limitando el alcance y la velocidad, estrangulando el número de llamadas a la API antes de la validación adicional del usuario, y actuando con la debida diligencia en los casos de uso.

API defensa en profundidad

Las múltiples capas de control de dificultan la explotación de una API. Puedes limitar el acceso al servidor a varias direcciones IP conocidas (etiqueta blanca), imponer la autenticación de dos factores e implantar muchas otras técnicas que aumenten la profundidad de tu práctica de seguridad de la API.

Política de confianza cero

La política de confianza cero de significa considerar inseguros por defecto a los proveedores de API de terceros y a los consumidores de API de terceros, ya sean externos o internos. Eso significa aplicar todas las medidas de seguridad pertinentes de las API internas y externas como si todas fueran externas y no fiables por defecto.

Falla las API de forma segura

Todas las API de fallan a menudo al procesar las transacciones debido a una entrada incorrecta, una sobrecarga de solicitudes u otras razones. Cualquier fallo dentro de la instancia de la API no debe anular los mecanismos de seguridad y debe denegar el acceso en caso de fallo.

Solucionar correctamente los problemas de seguridad de la API

Una vez identificado un problema de seguridad de la API, céntrate en solucionarlo adecuadamente y evita las "soluciones rápidas" que pueden servir a corto plazo, pero que no solucionan la causa real del problema. Los desarrolladores y los expertos en seguridad de la API deben comprender la causa raíz del problema, crear una prueba para ello y solucionarlo con un impacto mínimo en el sistema. Una vez hecho el arreglo, el sistema debe probarse en todos los entornos compatibles y en todas las plataformas. A menudo, las violaciones de la seguridad de la API se producen por fallos que fueron identificados por el equipo de la API, pero que no se solucionaron correctamente.

Decisiones clave para el monitoreo de la gobernanza

¿Qué hay que monitorear?

La decisión de qué monitorizar es importante. Puedes dejarlo en manos de equipos individuales al principio, pero a escala, te beneficiarás si tienes consistencia en el monitoreo de tu API. Unos datos coherentes mejorarán tu capacidad de observar los impactos y el comportamiento del sistema. Eso significa que tendrás que centralizar parte de esta toma de decisiones.

¿Cómo se recogen, analizan y comunican los datos?

Centralizar las decisiones sobre la implementación del monitoreo facilitará el trabajo con los datos de la API, pero puede coartar la libertad de los equipos de API. Tendrás que decidir qué parte de esta decisión debe centralizarse y qué parte debe distribuirse y descentralizarse. Esto es especialmente importante cuando se trata de datos sensibles que deben protegerse.

Descubrimiento en tiempo de ejecución

Descubrimiento en tiempo de ejecución es una forma de mejorar la capacidad de cambio de tu entorno API. Si tienes un buen sistema de descubrimiento en tiempo de ejecución, puedes cambiar la ubicación de tus instancias de API con muy poco impacto en los clientes de la API. Esto es especialmente útil si hay muchas instancias de API ejecutándose al mismo tiempo; por ejemplo, las arquitecturas de microservicios a menudo admiten el descubrimiento en tiempo de ejecución para facilitar la búsqueda de servicios. La mayor parte del trabajo que tendrás que hacer para que esto ocurra se encuentra en los pilares de desarrollo e implementación de una API.

El descubrimiento en tiempo de ejecución es un patrón útil que debes conocer y que merece la pena poner en práctica si gestionas un sistema complejo de APIs. No tendremos tiempo de entrar en los detalles de implementación de cómo hacerlo funcionar, pero requiere una inversión en tecnología a nivel de entorno, API y consumidor. En general, cuando hablamos del pilar de descubrimiento en este libro, nos referimos al descubrimiento en tiempo de diseño.

Descubrimiento en tiempo de diseño

Para que ayude a la gente a conocer tu API en el momento del diseño, tendrás que asegurarte de que dispones del tipo adecuado de documentación sobre la API. La documentación sobre lo que hace tu API y qué problemas resuelve debe estar fácilmente disponible para los usuarios que la busquen. Este tipo de "copia" de marketing de producto es una parte esencial del descubrimiento, pero no es lo único que importa. Ayudar a tus usuarios a encontrar esa información en primer lugar resulta ser una parte crítica de este pilar. Tendrás que comprometerte con tu comunidad de usuarios y comercializar con ellos para tener éxito. Cómo lo hagas depende mucho del contexto de tu base de usuarios:

APIs externas

Si tu API está siendo utilizada principalmente por personas que no trabajan en tu grupo u organización, tendrás que invertir en hacerles llegar tu mensaje. Esto significa comercializar tu producto API del mismo modo que comercializarías un programa informático: optimización de motores de búsqueda, patrocinio de eventos, participación de la comunidad y publicidad. Tu objetivo es asegurarte de que todos los usuarios potenciales de tu API entienden cómo puede ayudarles tu producto a satisfacer sus necesidades. Por supuesto, las acciones concretas de marketing que emprendas dependerán mucho de tu contexto, de la naturaleza de la API y de los usuarios a los que te dirijas.

Por ejemplo, si estás desarrollando un producto de API SMS y compites por los desarrolladores-usuarios, entonces te anunciarás en los lugares donde esperas que estén tus usuarios potenciales: conferencias de desarrolladores web, blogs sobre autenticación de dos factores y conferencias de telecomunicaciones. Si te diriges a desarrolladores independientes, podrías confiar en la publicidad digital, pero si tu objetivo son las grandes empresas, podrías invertir en un equipo de vendedores y en su red de relaciones. Si compites en un mercado saturado, probablemente tendrás que esforzarte mucho para diferenciarte, pero si tu producto es único, puede que sólo necesites un poco de magia de optimización de motores de búsqueda para que la gente entre por la puerta. Cuando se trata de marketing de productos, el contexto es el rey.

API internas

Si tu API está siendo utilizada por tus propios desarrolladores, probablemente tengas un público cautivo. Pero eso no significa que puedas ignorar la capacidad de descubrimiento de tu API. Una API interna tiene que ser descubierta para ser utilizada, y con el tiempo, si es demasiado difícil de encontrar, tendrás problemas. Si los desarrolladores internos no la conocen, no podrán utilizarla e incluso podrían perder el tiempo creando otra API que haga lo mismo que la tuya. Un mercado competitivo de API internas suele ser una señal saludable, y la reutilización suele estar sobrevalorada en las empresas. Pero si la gente de tu empresa está duplicando API perfectamente buenas sólo porque no las conoce, es una sangría de recursos.

Las API internas pueden comercializarse de forma muy parecida a las API externas. Sólo que el ecosistema de marketing es diferente. Mientras que con una API externa probablemente te dirigirás al motor de búsqueda de Google, para una API interna puede que sólo necesites entrar en la hoja de cálculo corporativa que enumera las API de la empresa. Patrocinar una conferencia de desarrolladores puede ser eficaz para una API externa, pero una estrategia mejor para una API interna podría ser simplemente visitar a todos los equipos de desarrollo de la empresa y enseñarles tu API.

Un gran reto para la comercialización de API internas suele ser la falta de madurez y normalización en la organización. En realidad, si comercializas tus API en una gran empresa, es muy probable que haya más de una lista de API flotando por ahí. Para hacer un buen trabajo, tendrás que asegurarte de que tu API está en todas las listas y registros importantes. Del mismo modo, conocer y conseguir tiempo con todos los equipos de desarrollo de tu empresa puede ser difícil en la práctica, pero si el uso de tu API te importa, merece la pena hacer la inversión.

Decisiones clave para la gobernanza del descubrimiento

¿Cómo será la experiencia de descubrimiento en?

Tendrás que diseñar una buena experiencia de descubrimiento para los usuarios de tu API. Esto significa decidir sobre las herramientas de descubrimiento, la experiencia del usuario y el público objetivo. A escala, también tendrás que decidir la coherencia de esta experiencia: si necesitas una gran coherencia, puede que tengas que centralizar las decisiones de diseño.

¿Cuándo y cómo se anuncian las API?

Comercializar una API tiene un coste de tiempo y esfuerzo, así que tendrás que decidir quién debe decidir cuándo comercializar una API. Puedes dejarlo en manos de equipos individuales de API, o puedes tomar esa decisión de forma centralizada. Si distribuyes la decisión entre tus equipos, tendrás que asegurarte de que las herramientas y procesos de descubrimiento centralizados no les impidan alcanzar sus objetivos de descubrimiento.

¿Cómo se mantiene la calidad de la experiencia de descubrimiento?

Con el tiempo, a medida que cambian las API, la información de cualquier sistema de detección se vuelve menos precisa. ¿De quién es la tarea de garantizar que el sistema de descubrimiento sea preciso? ¿Quién se asegurará de que la experiencia del usuario no se degrade a escala y con el paso del tiempo?

Decisiones clave para la gobernanza de la gestión del cambio

¿Qué versiones de deben ser rápidas y cuáles deben ser seguras?

Una decisión de gobierno importante es cómo tratar los distintos tipos de cambio. Si centralizas esta decisión, puedes crear una norma coherente que permita distintos procesos de liberación en función de su impacto. Algunos llaman a este enfoque "bimodal" o de "dos velocidades", pero nosotros creemos que hay más de dos velocidades en una organización compleja. También puedes descentralizar esta decisión y dejar que cada equipo evalúe el impacto por su cuenta. El peligro de descentralizar es que tus equipos no puedan evaluar con precisión el impacto en el sistema, por lo que tendrás que asegurarte de tener una arquitectura del sistema que sea resistente.