Dein Geschäft mit APIs vorantreiben

Wie stark sich dein API-Produkt auf deine Unternehmensstrategie auswirkt, hängt stark vom Kontext deines Unternehmens ab. Wenn die Haupteinnahmequelle deines Unternehmens der Verkauf von API-Zugängen an Drittentwickler ist (z. B. die Kommunikations-APIs von Twilio oder die Zahlungs-API von Stripe), dann ist die Strategie deines API-Produkts eng mit deiner Unternehmensstrategie verknüpft. Wenn die API gut läuft, profitiert das Unternehmen, wenn sie nicht gut läuft, schlägt das Unternehmen fehl. Das API-Produkt wird zum wichtigsten Wertschöpfungskanal für dein Unternehmen, und seine Architektur und sein Geschäftsmodell werden implizit auf die Ziele des Unternehmens abgestimmt.

Die meisten Unternehmen haben jedoch bereits bestehende, "traditionelle" Geschäftsbereiche, die durch die APIs unterstützt werden sollen. In diesen Fällen wird eine API nicht die neue Haupteinnahmequelle werden, es sei denn, das Unternehmen ändert seine Strategie grundlegend. Eine Bank, die seit Hunderten von Jahren tätig ist, kann zum Beispiel eine API für externe Entwickler/innen öffnen, um eine "Open Banking"-Initiative zu unterstützen. Wenn man sich nur auf das Geschäftsmodell der API konzentriert, könnte das dazu führen, dass man ein Einnahmemodell für die API einführt, bei dem Entwickler/innen für den Zugang zu API-basierten Bankfunktionen bezahlen müssen. Aber wenn man das Gesamtbild der Bank betrachtet, wäre diese API-Strategie nachteilig, weil sie eine Nutzungsbarriere schafft. Stattdessen kann die Banking-API kostenlos (und mit Verlust) angeboten werden, in der Hoffnung, die digitale Reichweite der Bank zu erhöhen, was zu einer Steigerung des Absatzes der Kernbankprodukte führt.

Die API-Strategie gilt nicht nur für APIs, die nach außen angeboten werden, sondern ist auch ein wichtiger Pfeiler für deine internen APIs. Das bedeutet, dass du auch für sie eine Produktstrategie festlegen musst. Der einzige wirkliche Unterschied zwischen der internen API-Strategie und der externen API-Strategie liegt in den Nutzern, die sie bedienen. Bei beiden Arten von APIs geht es darum, zu verstehen, warum es die API geben muss und wie sie diese Bedürfnisse erfüllen kann. Unabhängig davon, in welchem Kontext deine API eingesetzt wird, lohnt es sich, ein strategisches Ziel für die API zu entwickeln, das deiner Organisation einen Nutzen bringt.

Sobald du ein strategisches Ziel für dein API-Produkt hast, musst du eine Reihe von Taktiken entwickeln, die dir helfen, es zu erreichen.

Taktiken definieren

Um ein strategisches API-Ziel zu erreichen, musst du einen Plan für dein Produkt erstellen, der dich dorthin führt. Du musst eine Reihe von Taktiken für deine Arbeit entwickeln, die dir die besten Erfolgschancen bieten. Im Wesentlichen leitet deine Strategie die gesamte entscheidungsbasierte Arbeit, die du in den anderen neun Säulen leisten wirst. Die Herausforderung besteht darin, die Verbindung zwischen den einzelnen Bereichen der Entscheidungsarbeit und deinem Ziel zu verstehen.

Schauen wir uns ein paar Beispiele an:

Ziel: Steigerung der geschäftsspezifischen Fähigkeiten deiner Plattform

Wenn du dich darauf konzentrierst, eine größere Anzahl von geschäftsorientierten APIs aufzubauen, solltest du deine Taktik dahingehend ändern, wie du deine API überhaupt erst konzipierst und erstellst. Zum Beispiel solltest du die Stakeholder deines Unternehmens bereits in der Entwurfsphase deiner API einbeziehen, um sicherzustellen, dass die richtigen Funktionen über deine Schnittstelle bereitgestellt werden. Wahrscheinlich wirst du dich auch an ihnen orientieren, wenn es darum geht, wer die Hauptnutzer sind und wo die Grenzen der API liegen sollten.

Ziel: Interne Vermögenswerte monetarisieren

Ein Monetarisierungsfokus erfordert eine Reihe von Taktiken, die dir helfen, dein Produkt einer Nutzergemeinschaft zugänglich zu machen, die es für wertvoll hält. Das bedeutet in der Regel auch, dass du dich in einem wettbewerbsintensiven Markt bewegst, sodass die Entwicklererfahrung (DX) bei der Nutzung deiner API sehr wichtig wird. In taktischer Hinsicht bedeutet das, dass du mehr in Design, Dokumentation und Entdeckung investieren musst. Das bedeutet auch, dass du Marktforschung betreiben musst, um die richtige Zielgruppe für deine API zu finden und sicherzustellen, dass du die richtige Art von Produkt für sie hast.

Ziel: Geschäftsideen sammeln

Wenn es dein Ziel ist, innovative Ideen von außerhalb deines Unternehmens zu finden, musst du eine Reihe von Taktiken entwickeln, die die Nutzung deiner API auf innovative Weise fördern. Das bedeutet, dass du die API nach außen hin vermarkten und sie so gestalten musst, dass sie für eine Nutzergemeinschaft attraktiv ist, die den größten potenziellen Innovationswert bietet. Es ist auch sinnvoll, stark in die Entdeckungssäule zu investieren, um sicherzustellen, dass du die Nutzung so weit wie möglich vorantreiben kannst, um so viele Ideen wie möglich zu sammeln. Außerdem brauchst du eine klare Taktik, um die besten Ideen zu identifizieren und sie weiterzuentwickeln.

Wie wir an diesen drei Beispielen sehen können, musst du Folgendes tun, um starke Taktiken für deine API zu entwickeln:

• Finde heraus, welche Säulen für den Erfolg wichtig sind.

• Finde heraus, welche Nutzergemeinschaften zum Erfolg beitragen werden.

• Sammle kontextbezogene Daten, um deine Entscheidungsfindung zu unterstützen.

Anpassen deiner Strategie

Es ist zwar wichtig, dass du zu Beginn des Aufbaus deiner API eine gute Taktik entwickelst, aber es ist auch wichtig, dass deine Strategie fließend bleibt und sich ändern kann. Es ist nicht gut, wenn du dein strategisches Ziel und deinen taktischen Plan einmal festlegst und dann wieder weggehst. Stattdessen musst du deine Strategie anhand der Ergebnisse, die du mit deinem Produkt erzielst, anpassen. Wenn du keine Fortschritte machst, musst du deine Taktik ändern, vielleicht dein Ziel anpassen oder sogar die API aufgeben und neu beginnen.

Um deine strategischen Fortschritte zu dokumentieren, brauchst du eine Möglichkeit, deine API-Ergebnisse zu messen. Es ist sogar unerlässlich, dass du eine Reihe von Messgrößen für deine strategischen Ziele hast - sonst wirst du nie wissen, wie gut du bist. Wir werden in Kapitel 7 mehr über Ziele und Messungen für APIs sprechen, wenn wir OKRs und KPIs für APIs vorstellen. Die Messung hängt auch von der Möglichkeit ab, Daten über die API zu sammeln, daher musst du auch in die Überwachungssäule investieren.

Du solltest auch bereit sein, deine Strategie zu ändern, wenn sich der Kontext deiner API ändert: zum Beispiel, wenn deine Organisation ihr strategisches Ziel ändert, ein neuer Wettbewerber auf deinem Markt auftaucht oder die Regierung eine neue Art von Regulierung einführt. In jedem dieser Fälle kann eine schnelle Anpassung den Wert deiner API erheblich steigern. Strategische Veränderungen werden jedoch durch die Veränderbarkeit deiner API begrenzt, daher ist die Säule des Veränderungsmanagements (die weiter unten in diesem Kapitel behandelt wird) eine wichtige Investition.

Wichtige Entscheidungen für die strategische Steuerung

Was ist das Ziel und der taktische Plan der API?

Die Festlegung eines Ziels und eines Plans, um es zu erreichen, ist ein Kernstück der Strategiearbeit. Es ist wichtig, sorgfältig zu überlegen, wie diese Entscheidungsarbeit verteilt werden soll. Du kannst den einzelnen Teams erlauben, ihre eigenen Ziele und Taktiken zu definieren, um die Vorteile der lokalen Optimierung zu nutzen, oder du kannst die Zielplanung zentralisieren, um die Systemoptimierung zu verbessern. Wenn du dich dafür entscheidest, die API-Strategiearbeit zu dezentralisieren, musst du Anreize und Kontrollen schaffen, um zu verhindern, dass eine einzelne API irreparablen Schaden anrichtet. Zum Beispiel kann die Zentralisierung des Genehmigungsschritts einer Zielsetzungsentscheidung den Prozess verlangsamen, aber unerwartete Probleme verhindern.

Wie wird die strategische Wirkung gemessen?

Das Ziel der API ist eine lokale Definition, aber du musst auch festlegen, wie gut dieses Ziel mit den Interessen der Organisation übereinstimmt. Diese Messung kann dezentral erfolgen und den API-Teams überlassen werden, oder sie kann zentralisiert und standardisiert werden. Du kannst zum Beispiel einen einheitlichen Prozess mit standardisierten Kennzahlen einführen, den die Teams für API-Berichte befolgen müssen. Dies bietet dir den Vorteil einheitlicher Daten für die Analyse auf Systemebene.

Wann ändert sich die Strategie?

Manchmal müssen Ziele geändert werden, aber wer darf diese Entscheidung treffen? Das Problem bei der Änderung des Ziels einer API ist, dass sie in der Regel große Auswirkungen hat, sowohl auf die API selbst als auch auf die Menschen, die auf sie angewiesen sind. Auch wenn du deinen Teams die Freiheit gibst, das Ziel einer neuen API festzulegen, musst du mehr Kontrollen für Zieländerungen einführen, vor allem, wenn die API eine Phase der intensiven Nutzung erreicht hat.

Was ist gutes Design?

Wenn du dir die Arbeit gemacht hast, eine Strategie für deine API zu entwickeln, dann hast du bereits ein strategisches Ziel für deine API definiert. Nun müssen wir herausfinden, wie die Gestaltung der Schnittstelle dir helfen kann, diesem Ziel näher zu kommen. Wie wir in "Strategie" gesehen haben , kannst du dir viele verschiedene Ziele und Taktiken für eine API ausdenken. Aber im Allgemeinen laufen sie alle auf eine Entscheidung zwischen zwei gemeinsamen Zielen hinaus:

• Gewinnen Sie mehr API-Nutzer.

• Reduziere die Entwicklungskosten für die API-Nutzung.

In der Praxis brauchst du einen viel differenzierteren Blick auf die Strategie, wenn du effektiv sein willst. Aber wenn wir die Ziele auf diese Weise verallgemeinern, können wir eine wichtige Beobachtung machen: Ein gutes Oberflächendesign wird dir helfen, beide Ziele zu erreichen. Wenn das Gesamterlebnis bei der Nutzung der API gut ist, werden mehr Nutzer bereit sein, sie zu nutzen. Das Oberflächendesign spielt eine große Rolle für die Erfahrung der Entwickler mit deiner API, daher sollte ein gutes Oberflächendesign zu einer höheren Nutzerakquise führen. Eine gute Benutzeroberfläche macht es außerdem schwieriger, die falschen Dinge zu tun, und einfacher, die Probleme der Nutzer/innen zu lösen. Das führt zu einem geringeren Entwicklungsaufwand für die Software, die du schreibst, wenn du eine gut gestaltete API verwendest.

Es lohnt sich also, in gutes Interface-Design zu investieren. Aber es gibt keine konkrete Anzahl von Entscheidungen, die eine Schnittstelle zu einer "guten" Schnittstelle machen. Die Qualität deiner Benutzeroberfläche hängt ganz von den Zielen deiner Nutzer ab. Es ist unmöglich, die Benutzerfreundlichkeit und das Nutzererlebnis zu verbessern, wenn du nicht weißt, für wen du designst. Wenn du dir bereits überlegt hast, warum du diese API baust, ist es zum Glück eine einfache Übung, herauszufinden, für wen du sie gestaltest. Richte dich an diese Nutzergemeinschaft und treffe Designentscheidungen, die ihre Erfahrung bei der Nutzung deiner API verbessern.

Verwendung einer Entwurfsmethode

Um die besten Ergebnisse bei der Gestaltung von Benutzeroberflächen zu erzielen, ist es am besten, wenn du eine Methode oder einen Prozess anwendest. Ein großer Teil der Arbeit an einem Entwurf besteht darin, dass du Vermutungen oder Annahmen darüber anstellst, was deiner Meinung nach funktionieren wird. Du musst irgendwo anfangen, also kopierst du vielleicht zunächst eine API-Schnittstelle, die dir gefällt, oder befolgst eine Anleitung in einem Blogbeitrag. Das ist völlig in Ordnung. Aber wenn du den Wert deiner Design-Schnittstelle maximieren willst, brauchst du eine Möglichkeit, diese Annahmen zu testen und sicherzustellen, dass die von dir getroffenen Entscheidungen die besten sind.

Wir könnten uns zum Beispiel für den folgenden leichtgewichtigen Prozess entscheiden:

1. Entwirf einen Prototyp für die Benutzeroberfläche.

2. Schreibe unseren eigenen Client, der den Prototyp verwendet.

3. Aktualisiere den Prototyp anhand der gewonnenen Erkenntnisse und probiere ihn noch einmal aus.

Ein schwierigerer Prozess könnte so aussehen:

1. Veranstalte ein frühes Planungstreffen mit allen Interessengruppen (d.h. Nutzer/innen, Unterstützer/innen und Umsetzer/innen).

2. Entwirf ein Vokabular für die Schnittstelle.

3. Führe Umfragen in der Nutzergemeinschaft durch.

4. Erstelle einen Prototyp.

5. Teste den Prototyp mit den Zielgruppen.

6. Validiere den Prototyp mit den Umsetzern.

7. Iteriere nach Bedarf.

Der große Unterschied zwischen diesen beiden Beispielen ist der Umfang der Investitionen, die du tätigen musst, und die Menge an Informationen, die du sammeln musst. Die Entscheidung, wie viel du in den Designprozess investierst, ist eine strategische Entscheidung. Zum Beispiel wirst du die Schnittstelle einer externen API, die auf einem Konkurrenzmarkt verkauft wird, wahrscheinlich genauer unter die Lupe nehmen als eine interne API, die von deinem eigenen Entwicklungsteam verwendet wird. Aber erinnere dich daran, dass sich auch ein einfacher Entwurfsprozess auszahlen kann.

Wichtige Entscheidungen für die Design Governance

Was sind die Grenzen des Designs?

Ein API-Team, das keine Design-Zwänge hat, kann ein Schnittstellenmodell erstellen, das die Benutzerfreundlichkeit und das Erlebnis für seine Benutzer maximiert. Aber die Benutzerfreundlichkeit ist benutzerorientiert und geht auf Kosten der Flexibilität für die Benutzer im Allgemeinen. Das bedeutet, dass diese Art der lokalen Optimierung Auswirkungen auf das System hat. Wenn du viele APIs entwickelst und die Nutzer/innen mehr als eine davon verwenden müssen, musst du bei deinen Designentscheidungen einige Einschränkungen einführen. Das bedeutet, dass du entweder die Designarbeit zentralisieren musst oder die Auswahl an Möglichkeiten, die den Designern zur Verfügung stehen, zentralisieren musst. Einige zentralisierte Teams veröffentlichen einen "Styleguide", um diese Art von Designvorgaben zu dokumentieren; er kann die offiziell erlaubten Vokabeln, Stile und Interaktionen enthalten.

Wie werden Schnittstellenmodelle gemeinsam genutzt?

Wenn du entscheidest, wie das Modell einer Schnittstelle gemeinsam genutzt werden soll, musst du auch entscheiden, wie die Arbeit des API-Designs weitergeführt werden soll. Wenn du diese Entscheidung vollständig zentralisierst, kannst du zum Beispiel entscheiden, dass alle API-Teams Entwürfe im OpenAPI-Beschreibungsformat bereitstellen müssen. Dies hat den Nachteil, dass alle möglichen Designoptionen auf die in der OpenAPI-Spezifikation verfügbaren Optionen beschränkt sind, macht es aber auch einfacher, die Arbeit zwischen den Teams aufzuteilen und im gesamten System einheitliche Werkzeuge und Automatisierungen zu verwenden.

Methoden der Dokumentation

Du kannst API-Dokumentation auf viele verschiedene Arten bereitstellen: Du kannst eine enzyklopädieähnliche Referenz zu den Ressourcen deiner API bereitstellen, du kannst Tutorials und konzeptionelle Inhalte bereitstellen und du kannst sogar hoch dokumentierte, komplexe Beispielanwendungen bereitstellen, die die Nutzer kopieren und von denen sie lernen können. Es gibt eine unglaubliche Vielfalt an Stilen, Formaten und Strategien für die technische Dokumentation. Um die Sache zu vereinfachen, unterteilen wir die API-Dokumentation in zwei grundlegende Praktiken: die Methode "teach don't tell" und die Methode "tell don't teach". Unserer Erfahrung nach musst du beide Methoden anwenden, wenn du die beste Lernerfahrung für deine Nutzer/innen schaffen willst.

Der tell don't teach-Ansatz für die Dokumentation konzentriert sich auf die Vermittlung von Fakten über deine API, die den Nutzern helfen, sie zu verwenden. Beispiele für diesen faktenbasierten Ansatz sind die Liste der Fehlercodes deiner API und die Liste der von ihr verwendeten Schemata für den Nachrichtenkörper. Diese Art von Dokumentation gibt deinen Nutzern einen Leitfaden für deine Schnittstelle an die Hand. Da sie sehr faktenbasiert ist, ist sie relativ einfach zu entwerfen und zu entwickeln. Mit Hilfe von Werkzeugen kannst du diese Art von Dokumentation sogar sehr schnell erstellen, vor allem, wenn der Entwurf der Schnittstelle in einem maschinenlesbaren Format erstellt wurde (siehe "API-Beschreibungsformate"). Insgesamt erfordert diese Art der sachlichen Berichterstattung über Schnittstellendetails und -verhalten einen geringeren Designaufwand und weniger Entscheidungsfindung seitens deines Teams. Die wichtigsten Entscheidungen betreffen eher die Frage, welche Teile der API dokumentiert werden müssen, als die Frage, wie diese Informationen am besten vermittelt werden können.

Umgekehrt konzentriert sich mit dem "teach don't tell" -Ansatz bei der Dokumentation auf die Gestaltung einer Lernerfahrung. Anstatt den Lesern nur die Fakten zu präsentieren, bietet dieser Ansatz den Nutzern eine maßgeschneiderte Lernerfahrung. Das Ziel ist es, deinen API-Nutzern dabei zu helfen, ihre Ziele zu erreichen und gleichzeitig zu lernen, wie sie deine API auf eine gezielte Art und Weise nutzen können. Wenn du zum Beispiel eine Karten-API besitzt, könntest du ein Tutorial in sechs Schritten schreiben, in dem du deinen Nutzern beibringst, wie sie GPS-Informationen für eine Adresse abrufen können. Auf diese Weise kannst du ihnen helfen, eine ziemlich typische Aufgabe mit einem Minimum an Aufwand zu erledigen.

Aber die Dokumentation muss nicht passiv sein. Referenzen, Leitfäden und Tutorials sind hilfreich, aber du kannst auch Tools bereitstellen, die deinen Nutzern helfen, deine API auf interaktive Weise kennenzulernen. Du kannst zum Beispiel ein webbasiertes API-Explorer-Tool bereitstellen, mit dem deine Nutzer/innen in Echtzeit Anfragen an deine API senden können. Ein gutes API-Explorer-Tool ist mehr als ein "dummes" Netzwerkanfrage-Tool; es leitet die Lernerfahrung, indem es dem Nutzer eine Liste von Aktivitäten, Vokabeln, Vorschlägen und Korrekturen zur Verfügung stellt. Der große Vorteil interaktiver Werkzeuge ist, dass sie die Feedback-Schleife für die Nutzer/innen verkürzen: den Zyklus, in dem sie etwas lernen, versuchen, das Gelernte anzuwenden, und aus den Ergebnissen lernen. Ohne Tools müssen deine Nutzer/innen Zeit damit verbringen, Code zu schreiben oder externe Tools zu finden und zu nutzen, was zu einer viel längeren Schleife führen kann.

In die Dokumentation investieren

Wenn du nur eine Art von API-Dokumentation bereitstellst, ist die Wahrscheinlichkeit groß, dass du deiner Nutzergemeinschaft nicht gerecht wirst. Verschiedene Nutzer/innen haben unterschiedliche Bedürfnisse und du musst auf jede/n von ihnen eingehen, wenn dir ihre Lernerfahrung wichtig ist. Neue Nutzer/innen können zum Beispiel sehr von der "teach don't tell" -Dokumentation profitieren, weil sie vorschreibend und einfach zu befolgen ist, aber Nutzer/innen, die bereits Erfahrung mit deiner API haben, werden deine "tell don't teach" -Dokumentation zu schätzen wissen, weil sie schnell zu den Fakten navigieren können, die sie brauchen. Ebenso können interaktive Tools Nutzer/innen ansprechen, die ein Live-Erlebnis genießen, aber sie sind nicht geeignet für Nutzer/innen, die lieber verstehen und planen - oder die einfach lieber lesen wollen.

In der Praxis kann die Bereitstellung der gesamten Dokumentation für deine API kostspielig sein. Schließlich muss jemand die gesamte Dokumentation entwerfen und schreiben - und das nicht nur einmal, sondern während der gesamten Lebensdauer deiner API. Unter besteht eine der Schwierigkeiten bei der API-Dokumentation darin, dass sie mit den Änderungen an den Schnittstellen und Implementierungen synchronisiert werden muss. Wenn die Dokumentation falsch ist, können die Nutzer sehr schnell unzufrieden werden. Du musst also klug entscheiden, wie viel Dokumentationsaufwand für dein API-Produkt nachhaltig ist.

Der wichtigste Faktor bei der Entscheidung über die Investition in die Dokumentation sollte der Wert sein, den die Verbesserung der Lernerfahrung der API für dein Unternehmen hat. Eine gute Dokumentation kann zum Beispiel dazu beitragen, ein öffentliches API-Produkt von seinen Mitbewerbern zu unterscheiden. Sie kann auch eine große Hilfe für eine interne API sein, die von Entwicklern genutzt wird, die mit dem System, dem Geschäft oder der Branche des API-Eigentümers nicht vertraut sind. Der Dokumentationsaufwand für eine öffentliche API, die in einem Wettbewerbsmarkt tätig ist, ist in der Regel höher als für eine interne API, und das ist auch gut so. Letztendlich musst du entscheiden, wie viel Dokumentation für deine API gut genug ist. Die gute Nachricht ist, dass es immer möglich ist, diese Investition zu erhöhen, wenn deine API wächst.

Wichtige Entscheidungen für die Verwaltung der Dokumentation

Wie sollte die Lernerfahrung gestaltet sein?

Entscheidungen über die Gestaltung von Lernerfahrungen werden oft unabhängig von der Gestaltung, Implementierung und Bereitstellung einer API getroffen. Wenn du viele APIs hast, werden deine Nutzer/innen es zu schätzen wissen, wenn sie ein einheitliches Lernerlebnis für alle haben. Die Zentralisierung dieser Entscheidung ist jedoch mit den üblichen Kosten verbunden: weniger Innovation und mehr Einschränkungen für die API-Teams sowie ein potenzieller Engpass bei der zentralisierten technischen Redaktion. Du musst abwägen zwischen dem Bedürfnis nach Konsistenz und dem Maß an Vielfalt und Innovation, das du unterstützen musst. Eine Möglichkeit ist die Einführung eines Hybridmodells, bei dem die meisten APIs zentral dokumentiert werden, die Teams aber ihre eigenen Lernerfahrungen machen können, wenn sie etwas Neues ausprobieren.

Wann sollte eine Dokumentation geschrieben werden?

Es gibt erstaunlich viele Unterschiede bei der Frage, wann ein Team mit der Erstellung seiner Dokumentation beginnen sollte. Eine frühzeitige Erstellung ist teurer, weil es wahrscheinlich zu Änderungen am Design und an der Implementierung kommt, aber sie kann Probleme mit der Benutzerfreundlichkeit frühzeitig aufdecken, so dass es sich lohnt. Ihr müsst entscheiden, ob diese Entscheidung dezentral getroffen werden kann oder ob sie zentraler verwaltet werden muss. Muss zum Beispiel jede API unabhängig von ihrem Verwendungszweck eine schriftliche Dokumentation haben, bevor sie freigegeben werden kann? Oder sollten die Teams diese Entscheidung nach bestem Wissen und Gewissen treffen?

Rahmenwerke und Werkzeuge nutzen

Eine große Vielfalt an Tools wird in jedem typischen Entwicklungsprozess verwendet, aber bei der API-Entwicklung sind wir an einer bestimmten Kategorie von Tools interessiert - der Art, die dir hilft, die API-bezogenen Entscheidungen und den Entwicklungsaufwand bei der Erstellung einer neuen API-Version zu erleichtern. Dazu gehören Frameworks, die das Schreiben von API-Code erleichtern, sowie eigenständige Tools, die eine "no-code" oder "low-code" Implementierung bieten.

Ein Tool, das im Bereich der API-Verwaltung besonders beliebt ist, ist das API-Gateway. Ein API-Gateway ist ein serverbasiertes Tool, das die Kosten für die Bereitstellung von APIs innerhalb eines Netzwerks senken soll. Sie sind in der Regel hoch skalierbar, zuverlässig und sicher - die Verbesserung der Sicherheit einer API-Implementierung ist oft die Hauptmotivation für die Einführung eines Gateways in einer Systemarchitektur. Sie sind nützlich, weil sie die Kosten für die Entwicklung einer API-Instanz erheblich senken können.

Die Entwicklungskosten sinken, wenn du ein Tool wie ein Gateway verwendest, weil es die meisten deiner Probleme lösen kann. In den meisten Fällen erfordern diese Tools sogar nur sehr wenig Programmieraufwand. Ein gutes HTTP-API-Gateway sollte zum Beispiel in der Lage sein, auf einem HTTPS-Port auf Anfragen zu warten, JSON-Anfragen zu analysieren und mit einer Datenbank zu interagieren, ohne dass du dafür etwas konfigurieren musst. Natürlich geschieht das alles nicht auf magische Weise; jemand musste dieses Tool so programmieren, dass es all diese Dinge kann. Letztendlich wälzt du die Kosten für die API-Entwicklung auf eine externe Agentur ab.

Wenn Tools gut funktionieren, sind sie ein Geschenk des Himmels. Der Preis für den Einsatz von Tools wie API-Gateways ist jedoch, dass sie nur das tun können, wofür sie entwickelt wurden. Wie bei jeder Maschine ist deine Flexibilität auf die Funktionen beschränkt, die die Maschine bietet. Die Wahl des richtigen Werkzeugs ist also eine wichtige Entwicklungsentscheidung. Wenn deine API-Strategie und das Oberflächendesign von in die Richtung gehen, dass du viele nicht standardisierte Dinge tun willst, musst du möglicherweise einen größeren Teil der Entwicklungsarbeit selbst in die Hand nehmen.

Die Beziehung zwischen Schnittstelle und Implementierung

Unterstützen die Strategie und das Schnittstellendesign deiner API ist wirklich das wichtigste Ziel deiner Entwicklungsarbeit. Egal, wie gut deine Architektur ist und wie wartungsfreundlich dein Code ist, wenn die API nicht das tut, was sie laut Schnittstellendesign tun soll, hast du fehlgeschlagen. Aus dieser Aussage können wir zwei Schlussfolgerungen ziehen:

• Die Konformität mit deinem veröffentlichten Oberflächendesign ist ein wichtiger Qualitätsmaßstab für deine Implementierung.

• Du musst deine Implementierung immer wieder aktualisieren, wenn du die Schnittstelle änderst.

Das bedeutet, dass du deine API erst dann entwickeln kannst, wenn du ein Interface-Design hast. Das bedeutet auch, dass die Leute, die an der Entwicklung arbeiten, eine zuverlässige Methode brauchen, um zu verstehen, wie die Schnittstelle aussieht und wann sie sich ändert. Ein großes Risiko für dein API-Produkt besteht darin, dass sich das Designteam für ein Schnittstellendesign entscheidet, das unpraktisch oder unmöglich zu implementieren ist. Wenn der Schnittstellendesigner und der Implementierungsentwickler ein und dieselbe Person sind oder im selben Team arbeiten, ist das keine große Sache, aber wenn das nicht der Fall ist, solltest du sicherstellen, dass die Überprüfung der Schnittstelle durch das Implementierungsteam Teil deiner API-Designmethode ist.

Wichtige Entscheidung für die Entwicklungspolitik

Was kann für die Umsetzung genutzt werden?

Diese ist die zentrale Governance-Frage für die Umsetzung. Es ist eine weitreichende Frage, die viele Entscheidungen beinhaltet: Welche Datenbanken, Programmiersprachen und Systemkomponenten kannst du auswählen? Welche Bibliotheken, Frameworks und Tools können zur Unterstützung der Arbeit verwendet werden? Mit welchen Anbietern musst du zusammenarbeiten? Darfst du Open-Source-Code verwenden?

Zum Zeitpunkt der Erstellung dieses Artikels gibt es ein großes Interesse an der Dezentralisierung dieser Art von Entscheidungen, um die lokale Optimierung zu verbessern. Wir haben von vielen Unternehmen gehört, die festgestellt haben, dass ihre APIs effizienter, einfacher zu erstellen und leichter zu warten sind, wenn die Teams mehr Freiheit bei der Umsetzung haben. Die Dezentralisierung ist jedoch mit den üblichen Kosten verbunden: weniger Konsistenz und weniger Möglichkeiten zur Systemoptimierung. In der Praxis bedeutet das, dass es für die Mitarbeiter schwieriger sein kann, zwischen den Teams zu wechseln, und dass es weniger Möglichkeiten gibt, Skaleneffekte zu erzielen und die Umsetzung im Allgemeinen weniger transparent zu machen.

Unserer Erfahrung nach lohnt es sich, mehr Freiheit bei der Umsetzung zu gewähren, aber du musst abwägen, wie viel Entscheidungsfreiheit sich dein System leisten kann. Eine Möglichkeit, dezentrale Umsetzungsentscheidungen zu erleichtern, ist die Zentralisierung der Auswahl, d.h. die Zentralisierung der Technologieoptionen und die Dezentralisierung der Auswahl und Befugnisse des Teams.

Was muss getestet werden?

Das Hauptziel des Testens deiner API ist es, sicherzustellen, dass sie das strategische Ziel erreicht, das du bei ihrer Erstellung festgelegt hast. Aber wie wir in diesem Kapitel gesehen haben, wird dieses strategische Ziel durch die entscheidungsbasierte Arbeit der 10 Säulen ermöglicht. Das sekundäre Ziel der API-Prüfung besteht also darin, sicherzustellen, dass die gesamte Arbeit, die du in unseren Pfeilern geleistet hast, von ausreichender Qualität ist, um die Strategie zu unterstützen. Wenn zum Beispiel die Benutzerfreundlichkeit und die Lernfähigkeit deiner API sehr niedrig sind, könnte sich das auf das strategische Ziel auswirken, mehr API-Nutzer zu gewinnen. Das bedeutet, dass du spezifische Tests definieren musst, um die Qualität der Schnittstelle zu bewerten. Außerdem musst du prüfen, ob die von dir geleistete Arbeit intern konsistent ist. Zum Beispiel musst du prüfen, ob die von dir entwickelte Implementierung mit der von dir entworfenen Schnittstelle übereinstimmt.

Hier ist eine typische Liste von Prüfkategorien, die API-Besitzer/innen verwenden:

Usability- und UX-Tests

Identifiziere Benutzerfreundlichkeitsfehler in der Schnittstelle, der Dokumentation und der Entdeckung. Zum Beispiel: stelle die API-Dokumentation für Entwickler bereit und führe "über die Schulter" Beobachtungstests durch, während sie versuchen, Client-Code damit zu schreiben.

Einheitstests

Identifiziere Fehler innerhalb der Implementierung auf einer granularen Ebene. Ein Beispiel: Führe bei jedem Build einen JUnit-Test gegen eine Java-Methode im Code der API-Implementierung durch.

Integrationstests

Identifiziere die Implementierung und Schnittstellenfehler, indem du API-Aufrufe gegen eine Instanz machst. Ein Beispiel: Führe ein Testskript aus, das API-Aufrufe gegen eine laufende Instanz der API in einer Entwicklungsumgebung tätigt.

Leistungs- und Lasttests

Identifiziere nicht funktionierende Fehler in eingesetzten API-Instanzen und Instanzumgebungen. Beispiel: Führe ein Leistungstest-Skript aus, das eine Belastung auf Produktionsniveau mit einer laufenden Instanz der API in einer produktionsähnlichen Testumgebung simuliert.

Sicherheitstests

Identifiziere Sicherheitsschwachstellen in der Schnittstelle, der Implementierung und der Instanz der API. Beispiel: Beauftrage ein "Tigerteam" damit, Schwachstellen in einer laufenden Instanz der API in einer sicheren Testumgebung zu finden.

Produktionstests

Identifiziere Fehler in der Benutzerfreundlichkeit, Funktionalität und Leistung, nachdem das API-Produkt in der Produktionsumgebung veröffentlicht wurde. Beispiel: Führe einen multivariaten Test mit der API-Dokumentation durch, bei dem verschiedenen Nutzern leicht unterschiedliche Versionen des Inhalts angezeigt werden, und verbessere die Benutzerfreundlichkeit der Dokumentation anhand der Ergebnisse.

Diese Liste ist sicher nicht vollständig und es gibt noch viele andere Tests, die du durchführen kannst. Sogar die Tests, die wir hier beschrieben haben, könnten in viele weitere Unterkategorien aufgeteilt werden. Die große strategische Entscheidung, die du im Bereich der Tests treffen musst, ist die Frage, wie viel Tests gut genug sind. Im Idealfall kann dir deine API-Strategie dabei helfen, diese Entscheidung zu treffen. Wenn Qualität und Konsistenz eine hohe Priorität haben, musst du vielleicht viel Zeit und Geld in das Testen deiner API investieren, bevor sie veröffentlicht werden kann. Wenn deine API jedoch experimentell ist, kannst du einen risikotoleranten Ansatz wählen und ein Mindestmaß an Tests durchführen. Wir gehen zum Beispiel davon aus, dass die Testrichtlinien für die Zahlungsverkehrs-API einer etablierten Bank und die Social-Networking-API eines Start-ups sehr unterschiedlich ausfallen.

API-Testwerkzeuge

Testen kann teuer sein, deshalb ist es hilfreich, Prozessverbesserungen einzuführen, die es einfacher machen, die Qualität deines Produkts zu verbessern. Einige Unternehmen haben zum Beispiel Erfolg mit einer "testgetriebenen" Methode, bei der die Tests geschrieben werden , bevor die Implementierung oder Schnittstelle erstellt wird. Das Ziel dieses Ansatzes ist es, die Kultur eines Teams so zu verändern, dass alle Designentscheidungen zu einer testfreundlichen Implementierung führen. Wenn es funktioniert, ist das Ergebnis eine API, die aufgrund ihrer impliziten Testbarkeit von höherer Qualität ist.

Zusätzlich zu den Prozess- und Kulturverbesserungen kannst du Werkzeuge und Automatisierung nutzen, um die Kosten für die Durchführung von Tests zu senken. Die nützlichsten Werkzeuge im Arsenal der API-Tests sind Simulatoren und Test-Doubles oder Mocks. Die vernetzte Natur von API-Software macht es schwierig, Dinge isoliert zu testen, daher brauchst du eine Möglichkeit, andere Komponenten zu simulieren. Vor allem brauchst du wahrscheinlich Werkzeuge, um jede dieser Komponenten zu simulieren:

Kunde

Wenn du deine API testest, brauchst du etwas, das die Anfragen simuliert, die von deinen API-Kunden kommen. Es gibt viele Tools, die das für dich tun können. Die guten Tools bieten dir genügend Konfigurationsmöglichkeiten und Variabilität, um den Arten von Nachrichten und Verkehrsmustern, die du in der Produktion erhalten wirst, sehr nahe zu kommen.

Backend

Die Wahrscheinlichkeit ist groß, dass deine API einige eigene Abhängigkeiten hat. Dabei kann es sich um eine Reihe interner APIs, eine Datenbank oder eine externe Ressource handeln. Um Integrationstests, Leistungstests und Sicherheitstests durchführen zu können, brauchst du wahrscheinlich eine Möglichkeit, diese Abhängigkeiten zu simulieren.

Umwelt

Außerdem brauchst du eine Möglichkeit, deine Produktionsumgebung zu simulieren, wenn du Vorproduktionstests durchführst. Vor Jahren bedeutete das, dass du eine geplante Umgebung nur für diesen Zweck unterhalten und betreiben musstest. Heutzutage nutzen viele Unternehmen Virtualisierungswerkzeuge, um die Erstellung von Testumgebungen kostengünstiger zu gestalten.

API

Manchmal wirst du sogar deine eigene API simulieren müssen. Das kann der Fall sein, wenn du eine deiner unterstützenden Komponenten testen willst - zum Beispiel einen API-Explorer in einem Entwicklungsportal, der die API aufruft -, aber eine simulierte Version deiner API ist auch eine wertvolle Ressource, die du den Nutzern deiner API zur Verfügung stellen kannst. Diese Art von simulierter API wird oft als Sandkasten bezeichnet, vermutlich weil es ein Ort ist, an dem Entwickler mit deiner API und deinen Daten spielen können, ohne dass es Konsequenzen hat. Es ist eine kleine Investition, aber sie kann die Erfahrung der Entwickler mit deiner API erheblich verbessern.

Wichtige Entscheidungen für die Steuerung von Tests

Wo sollen die Tests stattfinden?

Im Laufe der Jahre wurden die Prüfprozesse immer mehr dezentralisiert. Die große Governance-Entscheidung besteht darin, festzulegen, wie stark du die einzelnen Arten von API-Prüfungen, die wir beschrieben haben, zentralisieren oder dezentralisieren willst. Die Zentralisierung eines Prüfprozesses gibt dir mehr Kontrolle, hat aber auch den Preis eines möglichen Engpasses. Ein Teil davon kann durch Automatisierung gemildert werden, aber dann musst du entscheiden, wer das automatisierte System konfiguriert und pflegt. Die meisten Unternehmen setzen sowohl zentrale als auch dezentrale Systeme ein. Wir raten dazu, die frühen Testphasen zu dezentralisieren, um schneller zu sein, und die späteren Phasen aus Sicherheitsgründen zu zentralisieren.

Wie viel Prüfung ist genug?

Selbst wenn du entscheidest, dass die einzelnen Teams ihre eigenen Tests durchführen können, solltest du die Entscheidung über das Mindestmaß an Tests, das sie durchführen müssen, zentralisieren. Einige Unternehmen verwenden zum Beispiel Tools zur Codeabdeckung, die Auskunft darüber geben, wie viel des Codes getestet wurde. In Bezug auf Kennzahlen und Qualität ist die Codeabdeckung zwar nicht perfekt, aber sie ist quantifizierbar und ermöglicht es dir, einen Mindestwert festzulegen, den alle Teams erfüllen müssen. Wenn du die richtigen Leute hast, kannst du diese Entscheidung auch dezentralisieren und es den einzelnen API-Teams überlassen, das zu tun, was für ihre APIs richtig ist.

Umgang mit Unsicherheit

Um die Qualität einer API-Bereitstellung zu verbessern, muss sichergestellt werden, dass sich deine API-Instanzen so verhalten, wie die Nutzer es erwarten. Ein großer Teil der Arbeit, die dafür nötig ist, findet natürlich außerhalb der Bereitstellung statt. Du musst guten, sauberen Implementierungscode schreiben und ihn gründlich testen, wenn du in der Produktion weniger Fehler haben willst. Aber selbst wenn du all diese Vorsichtsmaßnahmen triffst, passieren in der Produktion manchmal schlimme Dinge. Das liegt daran, dass eine veröffentlichte API ein hohes Maß an Unsicherheit und Unvorhersehbarkeit mit sich bringt.

Was passiert zum Beispiel, wenn es einen plötzlichen Anstieg der Nachfrage nach deinem API-Produkt gibt? Werden deine API-Instanzen in der Lage sein, die Last zu bewältigen? Oder was ist, wenn ein Betreiber versehentlich eine ältere Version einer API-Instanz einsetzt oder ein Drittanbieterdienst, von dem deine API abhängt, plötzlich nicht mehr verfügbar ist? Ungewissheit kann an vielen verschiedenen Stellen auftreten: durch deine Nutzer/innen, durch menschliches Versagen, durch deine Hardware und durch externe Abhängigkeiten. Um die Sicherheit bei der Bereitstellung zu erhöhen, musst du zwei gegensätzliche Ansätze verfolgen: Du musst Unsicherheiten beseitigen und sie gleichzeitig akzeptieren.

Eine beliebte Methode zur Beseitigung von Unsicherheiten beim API-Einsatz ist das Prinzip der Unveränderlichkeit. Unveränderlichkeit ist die Eigenschaft, dass sie nicht verändert werden kann - mit anderen Worten, sie ist "schreibgeschützt". Du kannst die Unveränderbarkeit auf viele Arten anwenden. Wenn du zum Beispiel deinen Mitarbeitern nicht erlaubst, die Umgebungsvariablen eines Servers zu ändern oder Softwarepakete manuell zu installieren, kannst du sagen, dass du eine unveränderliche Infrastruktur hast. In ähnlicher Weise kannst du unveränderliche API-Bereitstellungspakete erstellen, d. h. ein bereitstellbares Paket, das nicht verändert, sondern nur ersetzt werden kann. Das Prinzip der Unveränderlichkeit verbessert die Sicherheit, weil es die Unsicherheiten, die durch menschliche Eingriffe entstehen, ausschaltet.

Allerdings wirst du die Unsicherheit nie ganz ausschalten können. Du kannst nicht alle Eventualitäten vorhersagen und nicht alle Möglichkeiten testen. Ein großer Teil deiner Entscheidungsarbeit wird also darin bestehen, herauszufinden, wie du dein System auch dann sicher machen kannst, wenn das Unerwartete eintritt. Ein Teil dieser Arbeit findet auf der Ebene der API-Implementierung statt (z. B. das Schreiben von defensivem Code) und ein Teil auf der Landschaftsebene (z. B. das Entwerfen einer widerstandsfähigen Systemarchitektur), aber ein großer Teil der Arbeit muss auf der Ebene der Bereitstellung und des Betriebs stattfinden. Wenn du zum Beispiel den Zustand deiner API-Instanzen und Systemressourcen kontinuierlich überwachen kannst, kannst du Probleme finden und beheben, bevor sie sich auf deine Nutzer/innen auswirken.

Eine Art von Ungewissheit, die du in Kauf nehmen musst, sind Änderungen an der API. Es wäre zwar schön, wenn du alle Änderungen einfrieren könntest, sobald deine API zuverlässig funktioniert, aber Veränderungen sind unvermeidlich und du musst dich darauf vorbereiten. Tatsächlich sollte es ein Ziel deiner Arbeit sein, Änderungen so schnell wie möglich zu implementieren.

Automatisierung des Einsatzes

Es gibt eigentlich nur zwei Möglichkeiten, um deine Einsätze zu beschleunigen: weniger Arbeit zu machen oder schneller zu arbeiten. Manchmal kannst du das erreichen, indem du deine Arbeitsweise änderst - zum Beispiel, indem du eine andere Arbeitsweise oder eine neue Art von Kultur einführst. Das ist hart, aber es kann wirklich helfen. Auf dieses Thema werden wir später noch genauer eingehen, wenn wir in Kapitel 8 über Menschen und Teams sprechen.

Eine weitere Möglichkeit, um schneller zu werden, ist, menschliche Bereitstellungsaufgaben durch Automatisierung zu ersetzen. Wenn du zum Beispiel den Prozess des Testens, Erstellens und Bereitstellens deines API-Codes automatisierst, kannst du Releases auf Knopfdruck durchführen.

Der Einsatz von Werkzeugen und Automatisierung kann ein schneller Gewinn sein, aber sei dir der langfristigen Kosten bewusst. Die Einführung von Automatisierung in deinem Arbeitsablauf ist wie die Einführung von Maschinen in einer Fabrik - sie steigert die Effizienz, aber sie schränkt deine Flexibilität ein. Die Automatisierung bringt auch Anlauf- und Wartungskosten mit sich. Es ist unwahrscheinlich, dass sie von Anfang an funktioniert und dass sie sich von selbst an deine sich ändernden Anforderungen und Rahmenbedingungen anpasst. Wenn du also dein System durch Automatisierung verbesserst, musst du dich darauf einstellen, dass du diese Kosten im Laufe der Zeit bezahlen musst - das heißt, die Kosten für die Wartung der Maschinen und den eventuellen Ersatz.

Wichtige Entscheidungen für die Einsatzsteuerung

Wer entscheidet, wann eine Freigabe erfolgen kann?

Die Frage, wer die Freigabe erteilt, ist von zentraler Bedeutung für die Deployment Governance. Wenn du talentierte Leute hast, denen du vertrauen kannst, eine Architektur, die fehlertolerant ist, und eine Geschäftsdomäne, die gelegentliche Ausfälle verzeihen kann, kannst du die Entscheidung vollständig dezentralisieren. Andernfalls musst du herausfinden, welche Teile dieser Entscheidung zentralisiert werden müssen. Die Verteilung dieser Entscheidung ist in der Regel nuanciert. Du könntest z.B. "Push to Release" für vertrauenswürdige Teammitglieder aktivieren oder die Freigabe in eine Testumgebung verlagern, in der ein zentrales Team eine "Go/No-Go"-Entscheidung treffen kann. Verteile sie so, dass sie zu deinen Einschränkungen passt und die größtmögliche Geschwindigkeit bei einem angemessenen Maß an Sicherheit ermöglicht.

Wie werden die Einsätze verpackt?

In den letzten Jahren hat die Frage, wie Software verpackt und ausgeliefert wird, enorm an Bedeutung gewonnen. Sie hat sich als die Art von Entscheidung herausgestellt, die ein ganzes System allmählich in eine andere Richtung lenken kann. Die wachsende Beliebtheit von Containern hat es zum Beispiel billiger und einfacher gemacht, unveränderliche, Cloud-freundliche Implementierungen zu erstellen. Du musst dir überlegen, wer diese wichtige Entscheidung für dein Unternehmen treffen soll. Ein dezentraler, lokal optimierter Entscheidungsträger versteht vielleicht nicht die Auswirkungen auf Sicherheit, Kompatibilität und Skalierung, aber ein rein zentraler Entscheidungsträger hat vielleicht keine Lösung, die der Vielfalt der Implementierungen und der eingesetzten Software gerecht wird. Wie üblich ist es sinnvoll, die Entscheidung in irgendeiner Form einzuschränken und zu verteilen.

Neben der Frage nach Zentralisierung und Dezentralisierung musst du auch überlegen, welches Team am besten in der Lage ist, die qualitativ hochwertigsten Entscheidungen zu treffen. Sollen die Betriebs- und Middleware-Teams die Paketierungsoptionen festlegen? Ein Architekturteam? Oder sollen die Implementierungsteams die Entscheidung treffen? Die Verteilung der Talente ist hier ein wichtiger Faktor: Welche Teams haben die Leute, die die besten Einschätzungen vornehmen können?

Einen ganzheitlichen Ansatz wählen

Um die Sicherheit deiner API wirklich zu verbessern, musst du sie zum Teil des Entscheidungsprozesses für alle in diesem Kapitel beschriebenen Säulen machen. Ein großer Teil davon ist die Implementierung von Sicherheitsfunktionen zur Laufzeit. Zunächst einmal musst du Identitäten extrahieren, Clients und Endnutzer authentifizieren, die Nutzung genehmigen und Ratenlimits implementieren. Du kannst vieles davon selbst schreiben oder den sichereren und schnelleren Ansatz wählen, indem du Werkzeuge und Bibliotheken implementierst, die das für dich erledigen.

Aber API-Sicherheit umfasst viele Dinge, die außerhalb der Interaktion zwischen Client und API-Software passieren. Kulturelle Veränderungen können die Sicherheit verbessern, indem sie den Ingenieuren und Designern eine Mentalität vermitteln, bei der die Sicherheit an erster Stelle steht. Es können Prozesse eingeführt werden, die verhindern, dass unsichere Änderungen in die Produktion gelangen oder dort verbleiben. Die Dokumentation kann überprüft werden, um sicherzustellen, dass sie nicht versehentlich Informationen preisgibt. Vertriebs- und Supportmitarbeiter können geschult werden, damit sie nicht versehentlich private Daten weitergeben oder bei Social-Engineering-Angriffen helfen.

Natürlich ist das, was wir gerade beschrieben haben, viel größer als der traditionelle Bereich der API-Sicherheit. Aber die Wahrheit ist, dass API-Sicherheit nicht für sich allein existieren kann. Sie ist Teil eines vernetzten Systems und muss als ein Element eines ganzheitlichen Sicherheitsansatzes für dein Unternehmen betrachtet werden. Es nützt nichts, so zu tun, als sei sie eine Insel ohne Verbindung zu deiner übergeordneten Sicherheitsstrategie. Die Leute, die dein System ausnutzen wollen, werden es sicher nicht so behandeln.

Du musst also Entscheidungen darüber treffen, wie du deine API-Arbeit mit der Sicherheitsstrategie deines Unternehmens vereinbaren kannst. Manchmal ist das recht einfach, manchmal ist es schwieriger. Eine der großen Herausforderungen bei APIs ist der Spagat zwischen dem Wunsch nach Offenheit und Benutzerfreundlichkeit und dem Wunsch, die Dinge zu sichern. Wie weit du in die eine oder andere Richtung gehst, sollte von deiner Unternehmensstrategie und den strategischen Zielen deiner API abhängen.

Wichtige Entscheidungen für Security Governance

Welche Entscheidungen müssen genehmigt werden?

Alle Entscheidungen, die in deinem Unternehmen getroffen werden, haben das Potenzial, eine Sicherheitslücke zu schaffen, aber es ist unmöglich, jede Entscheidung, die getroffen wird, zu überprüfen. Du musst herausfinden, welche Entscheidungen die größten Auswirkungen auf die Sicherheit deiner API haben und sicherstellen, dass diese Entscheidungen die besten sind. Das hängt stark von deinem Kontext ab. Gibt es "vertrauenswürdige" Bereiche in deiner Architektur, die sichere "Kanten" haben müssen? Haben die Designer und Implementierer bereits Erfahrung mit guten Sicherheitspraktiken? Findet die gesamte Arbeit intern statt oder arbeitest du mit externen Implementierern zusammen? All diese kontextbezogenen Faktoren können den Fokus deiner Entscheidungsbefugnis verändern.

Wie viel Sicherheit braucht eine API?

Ein großer Teil des Sicherheitsapparats ist die Standardisierung von Arbeitsentscheidungen zum Schutz des Systems und seiner Nutzer. So gibt es zum Beispiel Regeln darüber, wo Dateien gespeichert werden können oder welche Verschlüsselungsalgorithmen verwendet werden sollen. Eine zunehmende Standardisierung schränkt die Freiheit der Teams und der Mitarbeiter ein, innovativ zu sein. Im Sicherheitskontext wird dies in der Regel mit den Auswirkungen einer einzigen Fehlentscheidung gerechtfertigt, aber nicht alle APIs brauchen unbedingt das gleiche Maß an Kontrolle und Schutz. Eine API, die von externen Entwicklern für Finanztransaktionen genutzt wird, erfordert beispielsweise höhere Sicherheitsinvestitionen als eine API, die für die Protokollierung von Leistungsdaten verwendet wird. Aber wer trifft diese Entscheidung?

Wie immer sind der Kontext, das Talent und die Strategie die wichtigsten Faktoren. Die Zentralisierung dieser Entscheidung ermöglicht es dem Sicherheitsteam, eine pauschale Bewertung auf der Grundlage seines Verständnisses des Systemkontextes vorzunehmen. Manchmal können diese allgemeinen Regeln jedoch dazu führen, dass Dinge unter den Tisch fallen - vor allem, wenn API-Teams neue und innovative Dinge tun, die das zentrale Team nicht berücksichtigen konnte. Wenn die Entscheidung verteilt ist, können die Teams selbst eine Bewertungsentscheidung treffen, aber das erfordert ein ordentliches Maß an Sicherheitswissen im Team selbst. Wenn du in einem Bereich arbeitest, in dem Sicherheit und Risikominderung Priorität haben, kann es passieren, dass du die höchste Sicherheitsstufe für alles erzwingst, ohne Rücksicht auf den lokalen Kontext und die Auswirkungen auf die Geschwindigkeit.

12 API-Sicherheitsgrundsätze

Abgeleitet von der Sicherheitscheckliste von Yuri Subach, die auf APIs angewendet wurde, ist die folgende Checkliste der 12 wichtigsten Prinzipien der API-Sicherheit, die du verwenden kannst, um dein Team zu sicheren APIs zu führen:

API-Vertraulichkeit

Die Begrenzung des Zugriffs auf die Informationen ist die erste Regel der API-Sicherheit. Die über die API zugängliche Ressource darf nur autorisierten Nutzern zur Verfügung stehen und muss während der Übertragung, Verarbeitung oder im Ruhezustand vor unbeabsichtigten Empfängern geschützt sein.

API-Integrität

Die von der API bereitgestellten Informationen müssen stets vertrauenswürdig und korrekt sein. Die Ressource muss vor absichtlichen und unabsichtlichen Änderungen, Modifikationen oder Löschungen geschützt werden, und unerwünschte Änderungen müssen automatisch erkannt werden.

API-Verfügbarkeit

Verfügbarkeit ist eine Garantie für den zuverlässigen Zugriff auf die Informationen durch autorisierte Personen. Die Anforderungen an die Verfügbarkeit beziehen sich auf die Infrastruktur und die Anwendungen, kombiniert mit geeigneten technischen Prozessen in der Organisation.

Wirtschaftlichkeit des Mechanismus

API-Design und die Implementierung des Systems müssen so einfach wie möglich gehalten werden. Komplexe APIs sind schwer zu überprüfen und zu verbessern und sie sind fehleranfälliger. Aus Sicht der Sicherheit und der Benutzerfreundlichkeit ist Minimalismus eine gute Sache.

Fehlschlagsichere API-Standardwerte

Der Zugang zu einem API-Endpunkt/einer API-Ressource sollte standardmäßig verweigert werden und der Zugang sollte nur im Falle einer speziellen Erlaubnis gewährt werden. Eine gute API-Sicherheit folgt dem Schutzschema "wann der Zugang gewährt werden sollte" und nicht dem Schutzschema "wann der Zugang eingeschränkt werden sollte".

Vollständige Mediation

Der Zugriff auf alle Ressourcen einer API sollte immer validiert werden. Jeder Endpunkt muss mit einem Autorisierungsmechanismus ausgestattet sein. Dieser Grundsatz bringt Sicherheitsüberlegungen auf eine systemweite Ebene.

Offenes API-Design

Ein gutes API-Sicherheitsdesign sollte kein Geheimnis sein und muss dokumentiert werden und auf definierten Sicherheitsstandards und offenen Protokollen basieren. Die API-Sicherheit betrifft alle Beteiligten der Organisation und kann auch Partner oder Verbraucher einschließen.

Geringstes API-Privileg

Jeder API-Konsument des Systems sollte mit den minimalen API-Berechtigungen arbeiten, die für die Ausführung der Aufgabe erforderlich sind. Dadurch wird der Schaden begrenzt, der durch einen Unfall oder Fehler im Zusammenhang mit diesem speziellen API-Verbraucher entsteht.

Psychologische Akzeptanz

Eine wirksame API-Sicherheitsimplementierung sollte ein System schützen, aber die Nutzer des Systems nicht daran hindern, es ordnungsgemäß zu nutzen, oder sie davon abhalten, alle Sicherheitsanforderungen zu befolgen. Das API-Sicherheitsniveau muss auf den Grad der Bedrohung abgestimmt sein. Ein starker API-Sicherheitsmechanismus für nicht sensible Ressourcen kann für die Nutzer/innen einen unverhältnismäßig hohen Aufwand bedeuten.

Minimiere die Angriffsfläche für APIs

Die Begrenzung der Angriffsfläche für eine API ist die Minimierung dessen, was von böswilligen Nutzern ausgenutzt werden kann. Um die Angriffsfläche einer API zu verringern, kannst du nur das Nötigste offenlegen und den Schaden begrenzen, indem du den Umfang und die Rate begrenzst, die Anzahl der API-Aufrufe vor einer weiteren Benutzervalidierung drosselst und die Anwendungsfälle mit der nötigen Sorgfalt prüfst.

API-Verteidigung in der Tiefe

Mehrere Kontrollebenen machen es schwieriger, eine API auszunutzen. Du kannst den Zugang zum Server auf mehrere bekannte IP-Adressen beschränken (White Labeling), eine Zwei-Faktor-Authentifizierung einführen und viele andere Techniken implementieren, die deine API-Sicherheitspraxis verbessern.

Null-Vertrauens-Politik

Die Null-Vertrauens-Politik von bedeutet, dass wir Drittanbieter-APIs und Drittanbieter-API-Konsumenten standardmäßig als unsicher betrachten, unabhängig davon, ob sie extern oder intern sind. Das bedeutet, dass alle relevanten API-Sicherheitsmaßnahmen für interne und externe APIs so umgesetzt werden, als wären sie alle extern und standardmäßig nicht vertrauenswürdig.

Sicheres Fehlschlagen von APIs

Alle APIs schlagen bei der Verarbeitung von Transaktionen häufig fehl, z. B. wegen falscher Eingaben oder einer Überlastung der Anfragen. Jeder Fehler innerhalb der API-Instanz darf die Sicherheitsmechanismen nicht außer Kraft setzen und muss im Falle eines Fehlers den Zugriff verweigern.

API-Sicherheitsprobleme korrekt beheben

Sobald ein API-Sicherheitsproblem erkannt wurde, solltest du dich darauf konzentrieren, es richtig zu beheben, und "schnelle Lösungen" vermeiden, die zwar kurzfristig helfen, aber die eigentliche Ursache des Problems nicht beheben. Entwickler und API-Sicherheitsexperten müssen die Grundursache des Problems verstehen, einen Test dafür erstellen und es mit minimalen Auswirkungen auf das System beheben. Sobald das Problem behoben ist, sollte das System in allen unterstützten Umgebungen und auf allen Plattformen getestet werden. Oft entstehen API-Sicherheitsverstöße durch Fehler, die vom API-Team erkannt, aber nicht richtig behoben wurden.

Wichtige Entscheidungen zur Überwachung der Governance

Was sollte überwacht werden?

Die Entscheidung, was überwacht werden soll, ist eine große Entscheidung. Am Anfang kannst du es den einzelnen Teams überlassen, aber bei der Skalierung wirst du davon profitieren, wenn du eine einheitliche API-Überwachung hast. Konsistente Daten verbessern deine Fähigkeit, die Auswirkungen auf das System und das Systemverhalten zu beobachten. Das bedeutet, dass du einen Teil der Entscheidungsfindung zentralisieren musst.

Wie werden die Daten gesammelt, analysiert und weitergegeben?

Die Zentralisierung der Entscheidungen über die Überwachungsimplementierung erleichtert die Arbeit mit API-Daten, kann aber die Freiheit der API-Teams einschränken. Ihr müsst entscheiden, wie viel von dieser Entscheidung zentral und wie viel dezentral getroffen werden soll. Dies ist besonders wichtig, wenn es um sensible Daten geht, die geschützt werden müssen.

Entdeckung zur Laufzeit

Die Laufzeitermittlung ist eine Möglichkeit, die Veränderbarkeit deiner API-Landschaft zu verbessern. Wenn du über ein gutes Laufzeiterkennungssystem verfügst, kannst du den Standort deiner API-Instanzen mit nur geringen Auswirkungen auf die API-Clients ändern. Das ist besonders nützlich, wenn viele API-Instanzen gleichzeitig laufen - zum Beispiel unterstützen Microservices-Architekturen oft die Laufzeiterkennung, um das Auffinden von Diensten zu erleichtern. Die meiste Arbeit, die du dafür leisten musst, liegt in den Säulen der Entwicklung und Bereitstellung einer API.

Die Laufzeitermittlung ist ein nützliches Muster, das du kennen solltest. Es lohnt sich, es zu implementieren, wenn du ein komplexes System von APIs verwaltest. Wir werden nicht die Zeit haben, auf die Details der Implementierung einzugehen, aber es erfordert eine technologische Investition auf der Landschafts-, API- und Verbraucherebene. Wenn wir in diesem Buch von der Discovery-Säule sprechen, meinen wir in erster Linie die Discovery zur Entwurfszeit.

Entdeckung zur Entwurfszeit

Um dabei zu helfen, dass die Nutzer zur Entwurfszeit mehr über deine API erfahren, musst du sicherstellen, dass du die richtige Art von API-Dokumentation zur Verfügung hast. Die Dokumentation darüber, was deine API tut und welche Probleme sie löst, sollte für Nutzer/innen, die danach suchen, leicht zugänglich sein. Diese Art von "Produktmarketing" ist ein wichtiger Teil der Entdeckung, aber es ist nicht das Einzige, was zählt. Es ist nicht das Einzige, worauf es ankommt. Ein wichtiger Teil dieser Säule ist es, deinen Nutzern zu helfen, die Informationen überhaupt zu finden. Um erfolgreich zu sein, musst du dich mit deiner Nutzergemeinschaft auseinandersetzen und sie ansprechen. Wie du das machst, hängt stark vom Kontext deiner Nutzerbasis ab:

Externe APIs

Wenn deine API hauptsächlich von Menschen genutzt wird, die nicht in deiner Gruppe oder Organisation arbeiten, musst du in die Vermittlung deiner Botschaft an sie investieren. Das bedeutet, dass du dein API-Produkt genauso vermarkten musst, wie du eine Software vermarkten würdest: Suchmaschinenoptimierung, Sponsoring von Veranstaltungen, Engagement in der Gemeinschaft und Werbung. Dein Ziel ist es, sicherzustellen, dass alle potenziellen Nutzer deines APIs verstehen, wie dein Produkt ihnen helfen kann, ihre Bedürfnisse zu erfüllen. Welche Marketingmaßnahmen du im Einzelnen ergreifst, hängt natürlich stark von deinem Kontext, der Art der API und den Nutzern ab, die du ansprechen willst.

Wenn du zum Beispiel ein SMS-API-Produkt entwickelst und um Entwickler-Nutzer konkurrierst, dann wirst du an den Orten werben, an denen du deine potenziellen Nutzer erwartest: Webentwickler-Konferenzen, Blogs über Zwei-Faktor-Authentifizierung und Telekommunikationskonferenzen. Wenn du dich an unabhängige Entwickler/innen wendest, könntest du dich auf digitale Werbung verlassen, aber wenn du auf große Unternehmen abzielst, könntest du in ein Team von Vertriebsmitarbeiter/innen und deren Beziehungsnetzwerk investieren. Wenn du in einem überfüllten Markt konkurrierst, musst du wahrscheinlich viel Aufwand betreiben, um dich von der Konkurrenz abzuheben, aber wenn dein Produkt einzigartig ist, brauchst du vielleicht nur ein bisschen Suchmaschinenoptimierung, um die Leute in die Tür zu bekommen. Wenn es um Produktmarketing geht, ist der Kontext entscheidend.

Interne APIs

Wenn deine API von deinen eigenen Entwicklern genutzt wird, hast du wahrscheinlich ein festes Publikum. Das bedeutet aber nicht, dass du die Auffindbarkeit deiner API ignorieren kannst. Eine interne API muss entdeckt werden, um genutzt werden zu können, und wenn sie zu schwer zu finden ist, wirst du mit der Zeit Probleme bekommen. Wenn die internen Entwickler sie nicht kennen, können sie sie nicht nutzen und verschwenden vielleicht sogar Zeit damit, eine andere API zu entwickeln, die dasselbe tut wie deine. Ein wettbewerbsfähiger Markt von APIs ist normalerweise ein gutes Zeichen, und Wiederverwendbarkeit wird in Unternehmen oft überbewertet. Wenn aber Leute in deinem Unternehmen perfekt funktionierende APIs duplizieren, nur weil sie sie nicht kennen, ist das eine Belastung für deine Ressourcen.

Interne APIs können auf die gleiche Weise vermarktet werden wie externe APIs. Nur das Marketing-Ökosystem ist anders. Während du dich bei einer externen API wahrscheinlich an die Google-Suchmaschine wendest, musst du bei einer internen API vielleicht nur in die unternehmenseigene Tabelle kommen, in der die APIs des Unternehmens aufgelistet sind. Für eine externe API kann es sinnvoll sein, eine Entwicklerkonferenz zu sponsern, aber für eine interne API ist es vielleicht besser, einfach alle Entwicklerteams im Unternehmen zu besuchen und sie über deine API zu informieren.

Eine große Herausforderung bei der Vermarktung interner APIs ist oft der Mangel an Reife und Standardisierung in der Organisation. Wenn du deine APIs in einem großen Unternehmen vermarktest, ist die Wahrscheinlichkeit sehr groß, dass es mehr als eine API-Liste gibt, die im Umlauf ist. Um gute Arbeit zu leisten, musst du sicherstellen, dass deine API auf allen wichtigen Listen und Registern steht. Ebenso kann es in der Praxis schwierig sein, alle Entwicklungsteams in deinem Unternehmen kennenzulernen und Zeit mit ihnen zu verbringen, aber wenn die Nutzung deiner API für dich wichtig ist, lohnt sich die Investition.

Wichtige Entscheidungen für die Discovery Governance

Wie wird das Entdeckungserlebnis aussehen?

Du musst ein gutes Entdeckungserlebnis für die Nutzer deiner API entwickeln. Das bedeutet, dass du dich für Entdeckungstools, Benutzererfahrung und eine Zielgruppe entscheiden musst. Bei der Skalierung musst du auch entscheiden, wie konsistent diese Erfahrung sein soll - wenn du eine hohe Konsistenz brauchst, musst du die Designentscheidungen vielleicht zentralisieren.

Wann und wie werden APIs beworben?

Die Vermarktung einer API kostet Zeit und Mühe, also musst du entscheiden, wer entscheiden soll, wann eine API vermarktet wird. Du kannst es den einzelnen API-Teams überlassen oder diese Entscheidung zentral treffen. Wenn du die Entscheidung an deine Teams weitergibst, musst du sicherstellen, dass zentralisierte Erkundungstools und -prozesse die Teams nicht an ihren Erkundungszielen hindern.

Wie wird die Qualität des Entdeckungserlebnisses aufrechterhalten?

Im Laufe der Zeit, wenn sich die APIs ändern, werden die Informationen in jedem Discovery-System ungenauer. Wer sorgt dafür, dass das Discovery-System genau ist? Wer sorgt dafür, dass das Nutzererlebnis im Laufe der Zeit nicht abnimmt?

Wichtige Entscheidungen für die Steuerung des Veränderungsmanagements

Welche Freisetzungen müssen schnell sein und welche müssen sicher sein?

Eine wichtige Governance-Entscheidung ist, wie verschiedene Arten von Änderungen behandelt werden sollen. Wenn du diese Entscheidung zentralisierst, kannst du eine einheitliche Regelung schaffen, die je nach Auswirkung unterschiedliche Freigabeprozesse zulässt. Manche nennen diesen Ansatz "bimodal" oder "zwei Geschwindigkeiten", aber wir glauben, dass es in einer komplexen Organisation mehr als zwei Geschwindigkeiten gibt. Du kannst diese Entscheidung auch dezentralisieren und einzelne Teams die Auswirkungen selbst beurteilen lassen. Die Gefahr dabei ist, dass deine Teams nicht in der Lage sind, die Auswirkungen auf das System richtig einzuschätzen, also musst du dafür sorgen, dass deine Systemarchitektur belastbar ist.