ARS ist Teil der

Lesezeit: 2 Minuten

 

Unterschätzte Vielschichtigkeit – API-Management auf verschiedenen Ebenen


 

Die vielfältigen Aufgabenbereiche rund um APIs

Im Bereich verteilter Systeme kommen wir nicht mehr um gut strukturierte Integration zwischen Komponenten herum. Das betrifft jede Art von Kommunikation zwischen Systemen, sei es synchron über REST, gRPC und ähnlichem oder asynchron über Events und Messages. Die digitale Transformation von Unternehmen erfordert es, diese Integrationsaufgaben zu koordinieren. Die Fragestellung ist, wie man Governance und effiziente Entwicklungsmethodiken umsetzen kann, um die diversen Aufgaben rund um diese Kommunikations-Schnittstellen zu unterstützen. Das betrifft

  • Entwicklung
  • Veröffentlichung
  • Verbesserung
  • Sicherung und Schutz
  • Qualitätssicherung
  • Decommissionierung
  • Kommunikation zwischen Entwicklungsbeteiligten
  • Governance über fachliche Rahmen und Erstellung einer unternehmensweiten Landschaft mit Synergieeffekten


Wenn man diese Liste betrachtet, wird schnell klar, dass wir es hier sehr verschiedene Themenfelder mit verschiedenen Interessenten und Betroffenen zu tun haben. Um also gute APIs zu entwickeln und zu betreiben, muss ein Unternehmen einen breiten Blick wahren. Dieser Blogbeitrag hat nicht das Ziel, alle Probleme und Herangehensweisen zu diesen Themenfeldern zu besprechen. Dazu verweisen wir in der Aufschlüsselung im nächsten Abschnitt auf andere Beiträge und Quellen. Wir möchten an dieser Stelle lediglich sensibilisieren, dass das Thema API-Management oft zu eindimensional bearbeitet wird. Außerdem geben wir dabei einen Überblick über die Themenbereiche, in denen wir unsere Kunden unterstützen und ermöglichen so die Identifikation von Lücken in der eigenen Strategie.

Bedeutungsebenen von API

Die oben genannten Themenbereiche lassen sich in vier größere Säulen gliedern, die wir im Folgenden etwas genauer untersuchen. Jede dieser Säulen hat andere Beteiligte, Stakeholder und Akteure und muss somit in der Umsetzung einer unternehmensweiten API-Strategie gesondert behandelt werden.

  1. Entwicklung und Qualitätssicherung
  2. Lebenszyklus der APIs
  3. Sicherheit und Freigaben
  4. Unternehmensstrategie und Governance

Entwicklung und Qualität

Dieses Themenfeld beschäftigt sich mit dem Prozess der Entstehung von APIs. Die Betroffenen sind größtenteils Entwickler und Requirements Engineers. Um gute APIs zu erhalten, haben sich Vorgehensweisen aus dem API First Ansatz bewährt (vgl. https://www.ars.de/details/bedeutung-von-apis-als-interaktionsmodell). Dabei wird vorausgesetzt, dass APIs mit klarem fachlichem Nutzen als Ziel entwickelt werden. Das erfordert nicht zuletzt auch den Einbezug möglicher Nutzer und Requirements Engineers (vgl. https://www.ars.de/details/warum-dein-projekt-requirements-engineering-oder-business-analyse-braucht).

Neben der reinen Entwicklung wird hier auch eine Strategie zur Qualitätssicherung benötigt. APIs haben eine hohe Sichtbarkeit nach außen und sind damit immer mit einem hohen Qualitätsanspruch verbunden. Der Einsatz von Quality Gates und Style Checkern sowie Review-Prozesse und kollaborative Entwicklung sind alles bewährte Methoden, um zu besseren Ergebnissen zu kommen.

Unterstützt wird die Entwicklung der APIs idealerweise mit durchdachter Werkzeugauswahl (wie Editoren, Style Checkern und Quality Gates) und gut ausgebildeten Entwicklern, die sich der Bedeutung und Herangehensweise für API-Entwicklung im Klaren sind. Das kann durch Schulungen, Community-Aufbau oder eine ausgeprägte Vortragskultur im Unternehmen gefördert werden.

Lebenszyklus der APIs

Nach der Entwicklung folgt die Inbetriebnahme der API. Damit endet der Lebenszyklus aber keineswegs. Um die in Abb.1 gezeigten Lifecycle-Schritte zusammenzufassen:

  1. Entwurf und Entwicklung
  2. Test und Qualitätssicherung
  3. Veröffentlichung, Absicherung und Betrieb
  4. Nutzung
  5. Verbesserung, Monitoring und Updates




Abb. 1: Der API-Lebenszyklus

Damit APIs diese verschiedenen Prozesse zuverlässig durchlaufen, benötigen Unternehmen solide Werkzeuge und Automatisierung. Mit Produkten und Werkzeugen aus dem Bereich API Management Plattform, CI/CD und API-Marktplätzen schaffen wir Standards, die die Zuverlässigkeit und Stabilität unserer APIs verbessern. Wir haben diverse Unternehmen bei der herausfordernden Produktauswahl und Inbetriebnahme dieser Werkzeuge unterstützt. Näheres zu den verschiedenen Bestandteilen der technischen API-Plattform findet sich hier: https://www.ars.de/details/bestandteile-und-dienste-einer-api-plattform.

Außerdem haben wir Strategien zur Produktauswahl und Alternativen dazu hier beschrieben: https://www.ars.de/details/produktvielfalt-und-betriebsmodelle-fuer-api-plattformen.

Sicherheit und Freigaben

Ein wesentlicher Stakeholder von APIs ist häufig auch die IT-Security. Durch den potenziell öffentlichen Charakter der Schnittstellen bieten diese immer auch einen Angriffsvektor. Selbst intern geplante Schnittstellen ohne öffentliche Erreichbarkeit stellen Systemgrenzen dar und somit im Rahmen einer Zero Trust Architektur schützenswert. Im Rahmen unserer Kundenprojekte haben wir diverse Werkzeuge für Security Scans und Security Quality Gates bei unseren Kunden eingeführt. Diese Tools bieten eine breite Abdeckung und die Möglichkeit der Einbindung in automatische Prozesse. So lassen sich häufige Fehler bereits früh erkennen und eine gute Grundabdeckung für API Security erzielen. Selbstverständlich sind für kritische Systeme auch manuelle Prüfungen und Überlegungen notwendig. Kein Automatismus ermöglicht keine fachlich sinnvollen Prüfungen. Auch Einschätzungen bzgl. schützenswerter Daten und deren Schutz muss manuell erfolgen. Deshalb ergänzen wir bei Bedarf die automatischen Werkzeuge durch manuelle Freigabeprozesse geschulter Spezialisten.

Auch relevant sind Bereiche wie Laufzeitsicherheit und Anomalie Erkennung von Datenverkehr. Hier gibt es ebenfalls spezialisierte Werkzeuge und bewährte Mittel, um die Sicherheit zu verbessern. Unser Ansatz richtet sich nach einem Security First Vorgehen, bei dem wir die API-Sicherheit bereits bei Anforderungserhebung und Design berücksichtigen.

Unternehmensstrategie und Governance

Neben den eher technischen Themen der API-Entwicklung und des Betriebs haben APIs auch immer eine strategische Bedeutung. Sie dienen als fachliche Abstraktion und bieten eine direkte Repräsentation des Unternehmensportfolio. Somit übersteigt ihre Bedeutung die einer rein technischen Schnittstelle. Stattdessen sind APIs in der Digitalisierung eines Unternehmens von entscheidender Bedeutung, da sie die Integration, Vernetzung und Automatisierung der digitalen Produkte treiben. Details dazu sind in diesem Blogartikel erläutert: .

Da APIs in diesem Kontext nicht isoliert betrachtet werden, sondern als Produktlandschaft des Unternehmens zu verstehen sind, ist ein hohes Maß an Governance notwendig, um die Synergien dieser Produkte zu ermöglichen. APIs dürfen nicht als Beiwerk von Anwendungen entstehen, sie stehen im Vordergrund bei der Schaffung digitaler Dienstleistungen. Das bedeutet, ein Unternehmen muss den Überblick über die vorhandenen APIs behalten und Neuentwicklungen gezielt steuern.

Außerdem sind die Werkzeuge und Prozessketten rund um die API-Verwaltung meist als Plattformlösungen implementiert. Das bedeutet, dass zentrale Werkzeuge geschaffen werden, die dann den Produktteams als Service bereitgestellt werden. Das erfordert eine durchdachte Produktauswahl und feste Verantwortungen bei der Erstellung und Wartung dieser Plattformlösungen. Hier müssen also Rollen und Budgets geschaffen werden, die diese Umsetzungen ermöglichen. Das ist nicht mehr Aufgabe einzelner Produktteams, sondern muss unternehmensweit zentral beauftragt und gemanaged werden.

Fazit

Die Erstellung und Verwaltung einer API-Landschaft eines Unternehmens ist eine vielschichtige und herausfordernde Aufgabe. Es gilt, technische, aber auch fachliche und strategische Fragestellungen zu bearbeiten. Diese verschiedenen Handlungsfelder bringen jeweils eigene Herausforderungen und Anforderungen mit sich. Selbstverständlich müssen die daraus resultierenden Aufgaben nicht alle zugleich gelöst werden. Eine iterative Herangehensweise mit direkt verprobaren Teilergebnissen kann bei der Einführung hilfreich sein. Um einen Überblick über den Fortschritt Ihrer API-Initiative zu gewinnen, haben wir einen Fragebogen entwickelt. Prüfen Sie Ihre Strategie und planen Sie Ihr weiteres Vorgehen: https://www.ars.de/details/api_maturity_wie_reif_sind_unsere_schnittstellen.

Blogautor

Johannes Brühl
SoftwarearchitektARS Computer und Consulting GmbHKontakt
Ihr Erfolg ist unser Ziel

Stehen Sie vor komplexen IT-Projekten? Mit unserer Expertise bieten wir Ihnen maßgeschneiderte Lösungen. Erfahren Sie mehr.

Unsere Leistungen
Werde Teil unseres Teams

Wir suchen ständig nach neuen Talenten. Für dich haben wir genau die richtige Stelle. Schau dir unsere offenen Positionen an.

Zu unseren Jobangeboten

Noch Fragen? Wir helfen Ihnen gerne!