SuperApps estão definindo o futuro do capitalismo no século XXI. É um modelo que nasceu na China mas, por causa do seu sucesso, tem se espalhado por todo o mundo. O gigante de e-commerce Alibaba, por exemplo, é o centro de um ecossistema com milhares de parceiros de negócios que simultaneamente usufruem dos dados do Alibaba e entregam dados ao Alibaba. Esse SuperApp usa uma plataforma aberta de troca de dados para gerar um fluxo de dados riquíssimo, elemento chave para realizar o profiling (construção do perfil do cliente) e, a partir daí, monetizar os dados de forma a gerar ofertas sob medida para cada consumidor.
No Alibaba, a base dessas trocas é o Alibaba Open Plataform, ambiente que, em janeiro de 2019, utilizava 1500 diferentes APIs (Application Programming Interfaces) para trocar dados com seus parceiros de negócios. A API é um software que faz a intermediação entre duas aplicações diferentes – sua missão é compartilhar dados. No início de 2019, as 1500 APIs do ecossistema Alibaba respondiam por mais de 5 bilhões de trocas de dados ao dia.
A importância de APIs para o conglomerado Alibaba estende-se a seus serviços financeiros, o Alipay. Esse App é responsável por 24,5% de todos os métodos de pagamento da China (dado de 2018). Com ajuda de milhares de APIs, o Alipay tornou-se crítico para restaurantes, supermercados, hotéis, companhias áreas, redes de cinemas, taxis, metrô e até mesmo igrejas. Em todos os casos, APIs conectam o Alipay às aplicações que suportam esses negócios, promovendo trocas de dados que levam à inovação, à busca pela melhor experiência do usuário e, é claro, ao aumento de vendas. As APIs aceleram o crescimento desse ecossistema como um todo, evitando que o desenvolvedor do Alipay ou de seus parceiros de negócios tenha de partir do zero para inserir novas funcionalidades na plataforma.
As APIs são invisíveis aos olhos do leigo, mas críticas para a economia digital. Quer as pessoas percebam ou não, seus Apps favoritos (Uber, Airbnb, PayPal, o Internet/Mobile Banking) são baseadas em parte em dados próprios, rodando em sua estrutura local ou na nuvem, e em parte em dados que chegam à aplicação por meio de APIs. O uso de mapas no App 99, por exemplo, depende não de mapas desenvolvidos pelo 99 e, sim, de dados contratados junto ao Google Maps e cobrados pelo uso. São APIs que conectam o engine do Google com o engine do 99.
A consultoria McKinsey chama esse contexto de "Economia de APIs".
Pesquisa realizada por essa empresa nos EUA, em 2017, afirmava que, nos próximos 5 anos, a explosão de APIs poderá trazer lucros na ordem de 1 trilhão de dólares para o mercado mundial. Esse quadro é corroborado por levantamento realizado em 2019 pelo IDC sob encomenda da F5/NGINX. O estudo analisava a importância estratégica das APIs na inovação dos negócios dos executivos consultados. 71% das 200 organizações dos EUA entrevistadas pelo IDC planejavam triplicar seu uso de APIs em 2020.
A mesma tendência acontece no Brasil. Levantamento realizado pela consultoria Sensedia, empresa especializada em integração de dados, aponta que, desde janeiro de 2020, o consumo de APIs por seus clientes aumentou 34% em relação ao mesmo período do ano passado.
As empresas que investem na Economia de APIs precisam pagar pelos dados que recebem. A API motiva trocas financeiras entre quem criou o dado e quem consome o dado. Os contratos são muito variados, permitindo, por exemplo, contratar blocos de dados que aceitam de 1000 a 3 mil acessos ao dia.
Essas e outras características do mercado global de APIs estão fora do radar dos usuários. Por muito tempo o consumidor acreditava que precisava, por exemplo, preencher formulários para que um fornecedor de algum serviço soubesse seu nome, seu endereço, seu número de sapato e roupa etc. Com as APIs, esse tipo de interação ficou para trás. APIs trafegam dados sobre o consumidor até um outro ponto de consumo de dados (uma aplicação diferente daquela onde o dado foi inicialmente criado) sem que o usuário tenha qualquer controle sobre isso.
Às vésperas do início da fiscalização da LGPD (Lei Geral de Proteção de Dados), pouca gente do nosso mercado está atenta aos desafios ligados às APIs. A lei atual não legisla especificamente sobre os cuidados para proteger a API. O foco da legislação é nos dados em si, e não nos softwares usados para trafegar esses dados de seu ponto de origem para seu ponto de consumo.
Com a expansão das APIs no nosso mercado, torna-se essencial aprender mais sobre esses elementos críticos de aplicações e de SuperApps. Algumas das APIs são ambientes abertos, desenvolvidos sem nenhum cuidado com a segurança de dados. Hoje, o controle sobre as APIs é muito limitado. As APIs nasceram livres e disponíveis e, para muitos desenvolvedores, têm de continuar assim para cumprir sua missão.
Outra questão crítica é definir quem é o responsável por tornar a API segura.
O ecossistema de APIs costuma ser um ambiente de mão dupla, onde a responsabilidade sobre o dado e sobre a API nem sempre é clara. É comum, ainda, que os desenvolvedores desse mercado não tenham visibilidade sobre as vulnerabilidades das APIs.
Dentro desse quadro, é essencial lutar pela integração dos times de DevOpsSec e pelo desenvolvimento de APIs seguras. Trata-se de um grande desafio, pois a inovação nos negócios digitais passa necessariamente pelo desenvolvimento de novas aplicações ou de novas funções de plataformas que já existiam. Com isso, o deadline imposto aos times de desenvolvimento é cada vez mais curto.
Uma forma de vencer esse dilema é, ao longo da esteira de desenvolvimento de APIs e de aplicações, realizar testes que chequem a segurança desses sistemas. Isso é feito de modo a proteger os dados e, ao mesmo tempo, liberar o desenvolvedor de ser o único a se encarregar de imprimir segurança ao sistema sendo construído. O time-to-market da aplicação e da API não pode ser atrasado. Por essa razão, qualquer solução que adicione segurança a esse contexto tem de ter excelente performance, além de respeitar o perfil e as pressões que incidem sobre o desenvolvedor.
Esse modelo é capaz de garantir uma real integração entre os times DevSecOps. As melhores soluções para garantir a segurança ao longo de todo o ciclo de vida das APIs, das aplicações e dos SuperApps fazem seu trabalho em silêncio, sem onerar nem a infraestrutura física nem o desenvolvedor, mas, ao mesmo tempo, garantindo uma nova maturidade digital a todo esse universo.
Desde o início da pandemia, a transformação digital da economia brasileira se acelerou ainda mais. Isso exige um novo olhar sobre o desenvolvimento e o consumo de APIs. Com a chegada da LGPD, é importante aceitar que, além da segurança de dados e das aplicações que consomem esses dados, é necessário proteger, também, as APIs, sinapses em constante expansão no nosso mercado.
Atingirá esse alvo quem utilizar soluções que protejam as APIs e, em paralelo, investir em transformações culturais que eliminem as barreiras entre o time de desenvolvimento e o time de segurança.
Beethovem Dias, solutions engineer da F5 Brasil.