A F5 anuncia as descobertas do estudo Explosão das APIs. O levantamento foi produzido pelos experts do F5 Labs. "Esse estudo mapeia o quanto a 'Economia de APIs' já é uma realidade e o que ainda falta fazer para adicionar maturidade e segurança a esse modelo", destaca Beethovem Dias, Solutions Engineer da F5 Brasil.
As APIs (Application Programming Interfaces) são críticas para a economia digital. Quer os consumidores percebam ou não, Apps como Mercado Livre ou Decolar são baseados em parte em dados próprios, rodando em sua estrutura local ou na nuvem, e em parte em dados que chegam à aplicação por meio dessas linguagens. As APIs aceleram a realização de negócios por meio da troca automatizada de dados entre aplicações rodando em organizações diferentes entre si.
Os experts do F5 Labs estimam que, até 2030, o mundo contará com 100 bilhões de APIs e com 45 milhões de desenvolvedores.
Computação em nuvem e consumo de APIs avançam juntos
"O estudo da F5 ressalta a forte conexão entre o avanço da computação em nuvem e a explosão de APIs", observa Dias. O desenvolvimento e o processamento de APIs acontece cada vez mais na nuvem, com grande número de desenvolvedores focados em grandes plataformas como Microsoft Azure, AWS e Google. Numa resposta de múltipla escolha, o estudo da F5 revela que nuvens públicas ou híbridas quase se equivalem ao uso de ambientes on-premises (nuvem privada). Enquanto 72% do mercado segue utilizando a nuvem privada, outros 68% adotam nuvens híbridas ou públicas e, finalmente, 15% já processam aplicações e APIs no Edge Computing (computação de borda).
"Os grandes fornecedores de nuvem pública investem continuamente na formação de desenvolvedores que dominem esses ambientes específicos. Chega-se a oferecer treinamento gratuito para os profissionais responsáveis por desenvolver aplicações e APIs", diz Dias. "A velocidade de expansão da nuvem soma-se aos curtíssimos prazos de desenvolvimento de APIs".
Nesse contexto, há o risco de que os cuidados com a segurança dessas linguagens não tenham sido incorporados à esteira de desenvolvimento. "É fundamental adicionar uma dimensão de segurança à construção das APIs, com a checagem de fatores como quem está compartilhando a API, quem está consumindo a API etc. É necessário que isso aconteça ao longo de todo o ciclo de desenvolvimento da API, não ao final do processo".
Outra estratégia recomendada por Dias é investir na padronização das APIs. "Isso passa por construir a API a partir de parâmetros claros e seguros, que facilitem o consumo da API por terceiros. Vale a pena estudar, ainda, a possibilidade de concentrar o desenvolvimento de APIs em um único ambiente de nuvem".
Providências como esta podem ajudar a reduzir o número de incidentes de segurança ligados ao consumo de APIs por empresas. O estudo revelou que, em 2020, 91% das empresas norte-americanas sofreram violações de APIs.
Incidentes de segurança com APIs são uma realidade no Brasil
Os incidentes de segurança com APIs são bastante variados. "Há organizações que acreditam que um alto índice de consumo das suas APIs é um sinal de sucesso nos negócios", observa Dias. "Isso nem sempre é verdade. Em alguns casos, o alto volume de acesso às APIs, por exemplo, de uma empresa de e-commerce, pode mascarar a ação de um concorrente que cria gargalos no consumo da API e, com isso, prejudica as transações de negócios".
Outro tipo de ataque foca-se nas APIs que, teoricamente, são só para leitura de dados: são linguagens que não permitem que o consumidor da API insira dados no sistema. "Se a API foi desenvolvida sem a correta metodologia de segurança, apresentando vulnerabilidades estruturais, o atacante pode alterar informação críticas sobre produtos ou ofertas da empresa".
Uma terceira frente de batalha é a autenticação dos acessos de terceiros às APIs. "As APIs seguem sendo desenvolvidas com uma única meta em mente: serem disponibilizadas o mais rapidamente possível, gerando lucro para quem as criou", ensina Dias. "O fato de serem um grande alvo para criminosos digitais, porém, está levando algumas empresas a utilizarem, ao longo do ciclo de vida da API, soluções de segurança que bloqueiam fraudes, identificando os sistemas que tentam acessar de forma ilícita os dados da API". Dias explica que esses tipos de ataques contra APIs são frequentes na realidade brasileira, com foco primordial nas verticais de finanças e varejo.
Se dados são o novo petróleo, as APIs são o novo plástico
Para o System Engineer da F5 Brasil, a Economia de APIs brasileira ainda está em sua infância. Esse conceito criado pela consultoria Mckinsey projeta uma realidade em que empresas e pessoas estarão conectadas entre si por APIs, trocando dados em milissegundos, num padrão de automação muito avançado. "A explosão de APIs por todas as verticais, com dados se movendo de ambientes on-premises para ambientes públicos e vice-versa está acontecendo aqui e agora", diz Dias. Uma parte expressiva dos incidentes de segurança de APIs ocorre não por ataques certeiros de hacker e, sim, por falhas ocorridas ao longo do ciclo de vida dessas linguagens. "Isso poderia ser resolvido com a disseminação da cultura de segurança além dos times Sec, atingindo também os profissionais de Dev e de NetOps".
Ainda assim, o consumo de APIs pelas organizações é essencial para a reinvenção dos negócios. "O mesmo salto de modernidade que o Brasil viveu nos anos 50, quando o plástico, um dos subprodutos do petróleo, começou a se disseminar na nossa economia, está acontecendo agora". Se o dado é o novo petróleo, APIs são o novo plástico, sendo a base de criação de produtos digitais que, sem o compartilhamento de dados, exigiriam altíssimos investimentos e prazos muito mais longos.