API Trends

2022
melhores práticas para estruturar
seu negócio para mudança
Esta é uma tradução do conteúdo original produzido em inglês por Randy Heffner. O autor,
inclusive, menciona diversas empresas do exterior em seus exemplos e casos de uso. Ao longo
do material, você encontrará alguns trechos de explicações em destaque que facilitarão o
contexto da leitura.
 ice • Índi
n d ce
Í
•

• Ín
dice •
Índice

Ín
ce

d Se vamos falar sobre tendências, precisamos falar sobre APIs 2

i

ce
d

i
Índice • Ín •
API Trends 2022: melhores práticas para estruturar seu negócio para mudança 4

Sobre as tendências 8

Open Business se torna o novo normal 10

A vanguarda vai além do Open Business e chega ao Open-ended Business 13

Negócios de plataforma aceleram produtos de API 16

Agilidade e DevOps se expandem para incluir governança adaptativa 19

A gestão de APIs se expande além do REST e chega a eventos e mais 22

APIs se combinam a low-code e cloud-native para maior agilidade de implementação 24

Segurança de API sofre verificações mais rigorosas e ganha arquiteturas mais robustas 27

Juntando tudo 32
 •A 2 Índice
PI
Se vamos

•A
falar sobre

PI
Nos últimos anos, tivemos de aprender a lidar com o incerto. A sociedade foi diretamente afetada pela

• API • API •
tendências, necessidade de mudanças rápidas, constantes e criativas. Como consequência, o mundo dos negócios
também tem encarado esse cenário, no qual flexibilidade e inovação nunca precisaram ser tratadas com
precisamos tanta prioridade.

falar sobre Novos modelos de negócio, que exploram efeitos de rede, como Hubs, Brokers e Marketplaces, além de
•

APIs A
novos canais digitais habilitados por APIs públicas, oferecem jornadas cada vez mais interconectadas.
I

P
P

I
A

Neste recente capítulo da transformação digital, as APIs estão, definitivamente, em todos os lugares.
•
I • AP
AP I•A
PI • API • Logo, se vamos falar sobre tendências, precisamos falar sobre APIs.

Quando convidamos o Randy Heffner para escrever sobre o que as empresas devem aguardar para
2022 e como as APIs podem ajudá-las nisso, nós sabíamos que as tendências abordadas não seriam
necessariamente novidades ou algo que jamais havia sido adotado anteriormente. Na verdade, você estará
diante das melhores práticas para a construção de um negócio digital preparado para disrupção contínua
e reconfiguração constante de processos, modelos e ecossistemas.

Durante a leitura, você provavelmente se perguntará se gostaria de estar à frente da curva da tecnologia
ou de ser um early adopter de nova tecnologia. Bem, essa é a verdadeira provocação que Randy faz em
Kleber Bacili
CEO e Founder da Sensedia relação às tendências para 2022.

Em resposta à pergunta acima, você deve considerar alguns pontos. Começando por entender se sua
Com mais de 18 anos de experiência, MBA na FGV e
especialista em Inovação e Empreendedorismo por
empresa realmente precisa de nova tecnologia e se ela será realmente útil para suas operações. Afinal,
Stanford, Kleber é professor associado na Unicamp e quando se fala em permanecer à frente, cria-se um espaço potencial para se tornar líder em um nicho de
sócio-fundador da Inova Ventures.
mercado, diferenciando-se dos concorrentes por meio da inovação.

Como evangelista das APIs, tenho reparado que toda empresa acabará se
tornando uma empresa de tecnologia. Os cenários tech estão se tornando
mais complexos, o que tem levado os times de TI a adotar novas tecnologias
para lidar com essa complexidade. Isso também nos leva a outra tendência
potencial em relação ao digital como o novo campo de batalha para a
sobrevivência dos negócios.
Em um universo empresarial cada vez mais digital e conectado, as APIs
estão por toda parte, os sistemas legados estão sendo fragmentados em
microsserviços, as cloud APIs externas estão sendo usadas massivamente e,
não menos importante, é lógico pensar que problemas de segurança serão
outro tópico extremamente importante.
Com o objetivo de entregar uma experiência de ponta a ponta fluida, as
empresas precisam encontrar uma solução mais integrada com foco nas
necessidades das personas. Os consumidores não são mais apenas receptores
de valor, mas produtores ou participantes ativos na criação de valor. O
valor é criado por meio da colaboração, engajamento e interação entre os
participantes. E isso nos leva a outra tendência, que se resume ao poder do
ecossistema habilitado por Platform Thinking.
As indústrias estão enfrentando mudanças com essa mentalidade
colaborativa, abrindo oportunidades para as empresas cocriarem e se
tornarem parceiras, comporem os negócios e, posteriormente, se prepararem
para o futuro focando no presente. O Randy fala sobre plataformização e eu
concordo plenamente que isso deve ser fundamental em sua estratégia para
3 Índice
2022, especialmente agora que o Open Business aumenta a visibilidade de
seus produtos de API à medida que você começa a pensar em seu negócio
como uma plataforma.
Além da preocupação com modelos de autenticação e autorização mais
avançados, a governança de suas APIs também será um ponto focal que
não poderá ser descartado em 2022, principalmente por quem já visa o
mundo Open. O Gartner, inclusive, já havia reportado que a maioria das
vulnerabilidades com APIs não estão relacionadas às APIs públicas, mas
àquelas que não estão sendo gerenciadas adequadamente.
Minhas considerações finais sobre o que esperar desta leitura são baseadas em
uma metáfora que o Randy usou uma vez. Imagine um jogador profissional de
sinuca. Ele não só encaçapa a bola da vez, mas também já prepara as próximas
a serem abatidas na sequência. Da mesma forma, as empresas precisam
pensar na evolução em arquitetura, pois, na maioria dos casos, não é possível
mudar tudo de uma vez. Especialmente em tempos de tanta incerteza,
entendemos que a flexibilidade para compor novos produtos é um elemento
fundamental.
Espero que este material traga
insights que estabeleçam Aproveite
uma visão mais longa para
a mudança contínua do a leitura!
mercado.
 4 Índice

API Trends 2022:

melhores práticas
para estruturar
seu negócio para
mudança

Em um piscar de olhos, a pandemia de COVID-19
deu um novo significado ao conceito de
“transformação digital” e nos ensinou sobre
a vital importância da capacidade de mudar
rapidamente modelos de negócio e operações.
Na era digital, para ter rapidez e excelência na
mudança em negócios, é preciso ter rapidez e
excelência na mudança em software.
No entanto, somente líderes digitais verdadeiros
sabem o que isso significa realmente e,
principalmente, o que fazer em relação a isso. Este
conteúdo de Tendências para 2022 destina-se a
quem deseja fazer parte do grupo de verdadeiros
líderes digitais. Para isso, antes de tratar das
tendências, vamos primeiro estabelecer uma visão
básica da mudança em negócios baseada em
software na era digital.
O ponto de partida é perceber que o futuro é
virtualmente imprevisível.
Sim, você ainda tem uma boa chance de ganhar
muito dinheiro se analisar dados, entender as
necessidades dos clientes, fazer pesquisas de
5 Índice
mercado, realizar grupos focais, projetar jornadas
do consumidor e estruturar um plano - um bom
planejamento como esse continua sendo muito
importante.
Porém, na era digital, um bom planejamento
não é a melhor forma de se proteger para que as
coisas não deem errado. Basta pensar em todos os
bons planos de produto para celular que ficaram
O futuro é
repentinamente obsoletos após 9 de janeiro de
2007 (anúncio público do primeiro iPhone da
Apple). Ou em todos os planos de negócio para
2020 que foram invalidados após 11 de março
virtualmente
daquele ano (declaração de pandemia global de
COVID-19 pela Organização Mundial da Saúde).
imprevisível.
Ou no simples fato de que mesmo os planos bons
nem sempre funcionam.
Além de um bom planejamento, a melhor
proteção para o futuro é a capacidade de mudar
o negócio rapidamente. Com cada transformação
em negócios (ou seja, com cada software que
você constrói ou adquire), a primeira suposição
sobre o projeto é de que ele terá que se adaptar,
evoluir e mudar, de maneiras amplas e restritas.
 6 Índice

Todo produto. Todo serviço. Todo modelo de negócio.

Todo processo. Todo relacionamento de negócios. Toda
cadeia de valor.

Para estruturar seu negócio para mudanças, é

necessário construir um software capaz de mudar.

A capacidade de mudar e a forma como isso acontece

se devem fundamentalmente à arquitetura de software.
Para saber quando e o que mudar, você precisa
construir ciclos de inteligência, insights e ação no
seu negócio, os incorporando ao seu software. Você
pode amar ou odiar o Meta (antes conhecido como
Facebook), mas é por causa das rápidas mudanças no
software e no negócio, com base em insights e foco
no usuário, que falamos diariamente dele (e não do * https://www.theguardian.com/technology/2015/mar/06/myspace-what-went-wrong-sean-percival-spotify
Myspace). Isso se aplica a qualquer empresa.

Uma arquitetura para mudanças em software precisa

de preparação, direcionamento e ajustes contínuos.
Não basta capacitar desenvolvedores ágeis para que
Para estruturar seu
construam de forma rápida. É evidente que você precisa negócio para mudanças,
de desenvolvedores capacitados e programar com
agilidade ajuda a mudar seu negócio com rapidez, mas é necessário construir um
não é a maneira mais rápida de fazer isso. A maneira
software capaz de mudar.
 7 Índice

mais rápida é reconfigurar, reconectar e recombinar o software que você já tem. Para que esteja preparado para isso, ele precisa seguir padrões e desenhos
comuns e coerentes, ou seja, arquitetura de software.

É mais do que apenas APIs. Uma arquitetura de software robusta abrange uma experiência digital fluida, processos de back-end, automação de front-end,
conexões de ecossistemas de negócios, fluxos de dados integrados, analytics e mais. As APIs são o ponto de alavancagem no centro da arquitetura de software de
negócios estratégicos.

A partir de 2022, a arquitetura de software correta é o que habilitará o sucesso digital.

É bom ter um empreiteiro ágil capaz de

construir paredes rapidamente. No entanto,
para gerenciar um centro de convenções,
mudanças mais rápidas são necessárias.
Será melhor contar com um arquiteto que
especifique o uso de divisórias móveis.
A mesma coisa acontece com software:
desenvolvedores ágeis são importantes,
mas uma arquitetura de software robusta
é a ferramenta mais poderosa que propicia
mudanças mais rápidas nos negócios.
 8 Índice

Sobre as tendências
 9 Índice

A palavra “tendência” é frequentemente usada para se referir a algo que muitos estão fazendo. Ninguém
quer ficar de fora, então querem saber o que está em alta. Qual é a última moda? Quais são as novidades?
O que nunca foi feito? Esse não é o objetivo das tendências deste material, afinal, não é o objetivo do seu
negócio. Seu negócio não faz algo porque é novidade, ele faz para ter sucesso, seja algo novo ou antigo. As
tendências que você encontrará aqui se referem ao sucesso.
"Talento é acertar
Embora alguns tópicos citados estejam em alta no sentido mencionado acima, eles, essencialmente, são
o que chamo de “tendências de líderes”: o critério principal não é a quantidade de empresas que estão um alvo que
fazendo isso, mas o que está sendo feito por aqueles que têm expertise no assunto. Parafraseando o
filósofo Arthur Schopenhauer: “Talento é acertar um alvo que ninguém acerta. Genialidade é acertar um
ninguém acerta.
alvo que ninguém vê.” O que os gênios estão fazendo? Genialidade é
As tendências interagem entre si. Elas se alavancam. Uma tendência pode gerar ou habilitar outra. Por acertar um alvo que
esse motivo, incluo tendências que, à primeira vista, podem parecer antigas, mas que se tornam novidade
quando entendemos como estão acelerando e evoluindo em combinação com as demais.
ninguém vê".
Essas tendências devem ser o foco ao longo de 2022, não necessariamente porque terão uma ampla
adoção no mercado, mas porque seu raciocínio, planejamento e estratégia deverão estar à frente do que
acontece no mercado.
 10 Índice

Para muitos executivos, o termo “Open Banking” (sistema financeiro aberto) foi a primeira pista de que
uma nova visão sobre estratégia de negócios estava surgindo. Antes disso, líderes digitais como Twitter,
1. Google e Netflix já contavam com APIs públicas há dez anos ou mais. Para o executivo comum, era fácil
ignorá-las, pressupondo que APIs públicas eram algo techie para empresas de tecnologia e startups,
Open Business não para as empresas em geral. Até mesmo APIs como as dos sistemas globais de reservas podiam ser
se torna o novo facilmente descartadas como casos específicos em setores específicos. Entretanto, à medida que cresce o
normal número de APIs públicas de grandes e consagradas empresas, nos aproximamos de um ponto de inflexão
no qual o Open Business se torna o novo normal.

Definição

Open Business: qualquer modelo de negócio, estratégia ou oferta no qual uma

empresa disponibiliza capabilities de negócio, produtos ou serviços aos stakeholders
do ecossistema (clientes, parceiros, provedores terceirizados de serviços, fornecedores,
entidades governamentais, por exemplo) por meio de interfaces digitais normalmente
baseadas em tecnologias amplamente utilizadas. Essas capabilities digitais de negócio
permitem que os stakeholders realizem transações, acessem serviços, utilizem
informações, coordenem processos de negócio e adaptem as interações da cadeia de
valor. Essas capabilities de negócio podem ser oferecidas como produtos geradores
de receita, valor agregado sem custo para produtos e serviços da empresa ou como
mecanismos flexíveis para personalizar e conduzir negócios corriqueiros.
 11 Índice

Você até pode esperar que os reguladores exijam isso – como os movimentos da Europa e do Brasil em direção ao Open Insurance (sistema de seguros aberto).
Você pode esperar que a concorrência force isso. Ou pode iniciar (ou acelerar) sua jornada no Open Business. A trajetória rumo ao “open é o novo normal” é
mostrada de forma intrigante em três artigos da Harvard Business Review:

1. Conversas iniciais
No estudo de caso de 2007 intitulado “Too Far Ahead of the IT Curve?” (Muito à frente da curva da TI?), quando APIs eram chamadas de
SOA, eu e três colegas abordamos a possibilidade de APIs gerarem flexibilidade no contexto da saúde e de que maneiras isso poderia
acontecer. Argumentei que as APIs são habilitadoras estratégicas da flexibilidade nos negócios. Um colega achava que eram
arriscadas demais.

2. Reconhecimento estratégico
Em 2015, o artigo “The Strategic Value of APIs” (O valor estratégico das APIs) reconheceu o alto valor de negócio das APIs. Embora tenha
tratado principalmente das estratégias de API de empresas de tecnologia como Salesforce, eBay, Twitter e IBM, também destacou um
caso de uso orientado à tecnologia de uma empresa “normal” (a API de impressão de fotos da Walgreens).

3. Ampla recomendação do mercado

Quatorze anos após o debate inicial, o artigo de 2021 da HBR intitulado “APIs Aren’t Just for Tech Companies” (APIs não são apenas para
empresas de tecnologia) mostrou que as APIs têm ampla aplicabilidade no mercado. Apesar de começar com exemplos de empresas
de tecnologia, abrange empresas “normais” dos setores de saúde (New South Wales Health Pathology), varejo (Pilot Flying J) e aviação
(Airbus). Poderia ter incluído seguros (Nationwide, Axa), produtos de consumo (Natura, L.L.Bean), transporte (Chicago Transit, Deutsche
Bahn) e logística (UPS, FedEx), entre outros.
 12 Índice

Vamos repetir: quatorze anos. Os líderes digitais precursores tiveram uma
janela enorme para fazer investimentos estratégicos de negócio baseados em
APIs enquanto a concorrência estava adormecida. A janela ainda está aberta,
em parte porque há uma distração em potencial na conversa sobre Open
Business e você deve estar ciente disso.
de conexões flexíveis, ricas e profundas nas cadeias de valor, tanto do lado do
cliente quanto do lado do fornecedor. Relacionamentos B2B formais podem
se tornar interconexões de ecossistema fluidas. Se você tiver oportunidades
claras para APIs abertas a um mundo de desenvolvedores, aproveite. Mas olhe
primeiro para as possibilidades B2B de agregar valor aos clientes e aumentar
os insights e a eficiência do lado da oferta.

Ao longo dos anos, a maior parte da discussão sobre APIs públicas concentrou-
se em fazer com que milhares de desenvolvedores utilizassem APIs. Esse é
certamente um resultado interessante para algumas empresas e algumas
APIs, mas o pulo do gato tende a acontecer em cenários B2B, que recebem
muito menos atenção dos holofotes. Para muitas empresas, o maior valor virá
 13 Índice

Você sabe o que é um “pico falso”? É quando você está escalando e, ao olhar para cima, vê o topo da
montanha. Basta subir mais 200 metros (ou até mesmo 30 apenas) que você chegará ao topo. De repente,
2. seu próximo passo revela que há outro pico mais além. Passado o “pico falso”, você poderá chegar a um
ponto muito mais alto, com uma vista ainda mais fantástica para desfrutar.
A vanguarda vai
além do Open APIs públicas e Open Business são picos falsos. Eles oferecem muitas possibilidades para novos modelos
Business e chega de negócio, novos canais para o mercado e novos produtos e serviços. São boas metas a serem alcançadas,
ao Open-ended mas ainda há um pico mais alto na montanha do Open Business, que chamo de Open-ended Business.

Business

Definição

Open-ended Business: uma abordagem à estratégia de negócios que, além de criar valor a partir da
empresa como um todo, procura também identificar e buscar oportunidades com base no valor de suas
competências, capabilities e assets individuais de negócio (digitais ou físicos). Um Open-ended Business
pode criar uma ampla gama de modelos de negócio e estratégias de go-to-market usando suas capabilities
- sozinhas ou em várias combinações - para fornecer valor a diversas verticais. Em contrapartida, uma
visão tradicional da estratégia de negócios foca, em primeiro lugar, em um tipo específico de negócio, em
uma vertical específica, adquirindo competências e capabilities apenas quando necessário para apoiar o
negócio em questão. Um Open-ended Business se beneficia muito de uma arquitetura de software robusta,
que o torna aberto a conexões diretas e dinâmicas com vários ecossistemas e habilita que o negócio seja
rapidamente reconfigurado para atender a qualquer oportunidade de Open-ended Business.
 14 Índice

A distinção é esta: com o Open Business, você pode simplesmente agregar Essa distinção foi amplamente utilizada no Open Banking, no qual alguns
acesso digital a uma aplicação que possui uma arquitetura fechada. Fazendo executivos achavam que este era um projeto específico, exigido pelos
isso, a empresa não se torna mais apta à mudança, ela simplesmente reguladores, que deveriam implementar com o mínimo esforço. Outros
assumiu um projeto para criar um único ponto de acesso aberto, mas ainda perceberam que as demandas restritas dos reguladores do Open Banking –
é um negócio fechado. A ideia com o Open-ended Business é tornar todas acesso a dados de contas e processamento de pagamentos – eram apenas
as capabilities de negócio, dados e transações da organização abertos e o começo de uma base mais aberta, flexível e vantajosa para a inovação em
disponíveis para uma ampla gama de novos modelos de negócio, produtos e negócios. Eles perceberam que a arquitetura de software para Open Banking
caminhos para o mercado. permitiria que reconfigurassem suas capabilities de negócio existentes em
negócios totalmente novos para fornecer insights de mercado ou até mesmo
Para chegar lá, cada projeto, à medida que entra em contato com aplicações um BaaS (banking-as-a-service). *Veja a figura na próxima página.
existentes, se abre por meio da criação de novas interfaces digitais para dados,
transações e capabilities (mesmo que não sejam imediatamente necessárias)
de modo a deixar a empresa de prontidão para mudanças rápidas. Ou, ao
adquirir novas aplicações, um Open-ended Business prefere adquirir ou
construir soluções que já tenham interfaces abertas.
Com o Open Business,
Com o Open Business, os executivos buscam oportunidades de negócio que você pode simplesmente
usem APIs. Com o Open-ended Business, posicionam capabilities de negócio
bem elaboradas e baseadas em APIs no centro da busca por oportunidades de agregar acesso digital a uma
negócio para que, no futuro, tenham uma base mais ampla de capabilities de
prontidão para o digital.
aplicação que possui uma
Você pode chamar isso de composable business, mas atenção: alguns players
arquitetura fechada
utilizam esse termo apenas para dizer que estão trabalhando com APIs e eventos,
ignorando a importância de desenhar APIs para refletir capabilities de negócio.
 15 Índice

Com o Open-ended Business, o próprio negócio se torna uma plataforma: uma coleção de capabilities de negócio digitais prontas para serem conectadas e
combinadas em muitas configurações diferentes a fim de criar e executar uma variedade de modelos de negócio.
 16 Índice

Quando as empresas começam a oferecer APIs públicas, é geralmente com funções que são extensões
pequenas, mas importantes, de capabilities existentes, como uma API para verificar o status de um
3. pedido. No entanto, à medida que os executivos começam a pensar no negócio como uma plataforma de
capabilities que suportam uma gama de possibilidades open-ended de negócios, os produtos de API se
Negócios de tornarão muito mais importantes e predominantes. Isso significa que:
plataforma aceleram
produtos de API
Produtos de API precisam ser desenhados intencionalmente
como produtos
Agrupamento, empacotamento, precificação e propostas de valor de APIs receberão
maior foco, atenção, esforço de design e planejamento de go-to-market. Os produtos
de API têm clientes (também conhecidos como usuários de API ou consumidores de
API) e devem atender às necessidades e cenários de uso deles.

Produtos precisam de product managers

A função do product manager de API se tornará mais prevalente e melhor
compreendida como fundamentalmente baseada nos conceitos tradicionais de gestão
de produtos. Como qualquer product manager, no caso das APIs é necessário entender
seus clientes, utilizando personas, jornadas e outros métodos conhecidos.
 17 Índice

Produtos de API atenderão às necessidades dos clientes, não à

pureza técnica
A noção de um “produto de API” passará a incluir não apenas APIs REST, mas qualquer
tipo de modelo de interface digital baseado em software, incluindo acesso puro a
dados (GraphQL, por exemplo), eventos (AsyncAPI, por exemplo), streaming (Kafka e
WebSocket, por exemplo) e mais. Possivelmente incluirá adaptadores de integração,
componentes de software e outros recursos que ampliam as definições tradicionais
de API.

Mais empresas darão atenção especial às possibilidades de produtos de API que geram receita, bem como
a produtos de API que podem gerar clientes mais engajados por meio do aumento de eficiência de sua
cadeia de valor, oferecendo modelos de suporte mais ricos ou desenvolvendo adições de valor agregado a
outros produtos e serviços.

Definição

Produto de API: conjunto de interfaces digitais criadas para fornecer um conjunto coeso de capabilities de
negócio úteis para uma finalidade definida e disponibilizado para uso por um ou mais grupos de clientes-
alvo. Os provedores de API podem optar por empacotar vários produtos de API para serem oferecidos como
produtos de grande granularidade. Os clientes de um produto de API podem ser externos ou internos à
empresa que o oferece.
 18 Índice

Seja qual for o cenário, os conceitos de gestão de produtos ganham importância para garantir que as Conforme os product managers examinarem mais
APIs realmente entreguem valor aos seus usuários e clientes. As propostas de valor mais importantes profundamente como as APIs são usadas e como
são para APIs geradoras de receita e para modelos de negócio que circundam capabilities baseadas em os processos e cadeias de valor fluem entre as
APIs. Porém, mesmo as APIs de negócio internas precisam de foco na gestão de produto para orientar a empresas, as limitações no modelo request-reply
evolução da sua plataforma digital de negócios. Existem dois lados: das APIs REST começarão a chamar atenção. Às
vezes, em vez de request-reply, o valor de negócio
flui por meio de fluxos, eventos e outros modelos,
como acesso a banco de dados ou visualização
remota (também conhecida como “portlet” ou
“frame”). Product managers de API, com seu foco
em valor de negócio ao invés da pureza técnica,
expandirão esses produtos para incluir AsyncAPI,
GraphQL, WebSocket e muito mais, permitindo
que suas conexões digitais correspondam à
dinâmica dos fluxos de negócio.

Em meio a essas e outras preocupações, a gestão

de produtos de API trará a estratégia de API para
sua base fundamental: o produto de API real não é
a API em si, mas o valor gerado por meio dela.
 19 Índice

Com a migração para negócios de plataforma open-ended, há uma mudança sutil, mas crítica, na natureza
do seu software de negócios – em particular, nas suas principais APIs de negócio. Seu software não é
4. mais apenas um simples recurso que dá suporte ao seu negócio: ele é o seu negócio. A capacidade da
sua empresa de conduzir negócios, a eficiência e a riqueza dos seus serviços e produtos e seu potencial
Agilidade e alcance de mercado não são apenas suportados pelo software, são projetados nas APIs e outras interfaces
DevOps se digitais que permitem que o valor flua dentro da empresa e que a conectam a clientes, parceiros,
expandem para fornecedores e outros players do ecossistema. Isso exige uma nova abordagem à governança de software.
incluir governança
adaptativa
Definição

API de negócios: API que incorpora transação de negócio,

entidade de dados, evento ou outro elemento, seguindo a
terminologia utilizada na área de negócios. APIs de negócio são
desenvolvidas para corresponder à forma como os negócios
são feitos por uma empresa, acima do desenho de aplicações
subjacentes. Em outras palavras, uma API de negócio espelha o
desenho do negócio, enquanto a implementação por trás da API
faz o que for necessário para conectar o desenho do negócio às
aplicações e fontes de dados subjacentes que lidam com dados e
transações.
 20 Índice

Suas APIs de negócio, como elementos críticos níveis de governança colaborativa para assets de negócio digitais e menos governança para assets técnicos
do seu software e da empresa, devem ser criadas low-level secundários, os líderes desenvolverão modelos de governança adaptativa. Neles, o contexto
não de uma perspectiva de codificação techie, de um asset de software (seu impacto nos fluxos de valor, a sensibilidade dos dados que ele manipula,
mas de uma perspectiva de design de negócios. sua exposição a hackers, a habilidade da equipe de desenvolvimento e mais) determina a quantidade
Enquanto métodos ágeis se concentram em correta de cada tipo de governança. Não se trata de uma simples dicotomia de alta ou baixa governança.
liberar desenvolvedores para entregar software, A realidade se assemelha mais a uma escala móvel configurável, portanto, os processos e políticas de
não é o software que eles estão entregando. É o governança devem ser desenhados para se adaptarem dinamicamente com base nas características e no
seu negócio. Para garantir que seu negócio seja contexto da API.
desenhado e construído com fortes domínios
de capabilities de negócio (que são a base
modular da agilidade do Open-ended Business), é
necessário um design colaborativo e supervisão de
uma equipe multidisciplinar e unida de líderes do
negócio, analistas, arquitetos e desenvolvedores.

Ao mesmo tempo, a governança de software está

Seu software não é mais apenas
se tornando ainda mais crítica para atender às
exigências de compliance e segurança, gerenciar
um simples recurso que dá
complexidades de custo e confiabilidade com
soluções cloud-native, alinhar valor de negócio e
suporte ao seu negócio - ele é o
prioridades de software, bem como para garantir
operações de produção sólidas.
seu negócio.
Para endereçar as necessidades paralelas dos altos
 21 Índice

Não é tão difícil quanto parece – pelo menos não

quando combinado com práticas ricas de DevOps e
pipelines de CI-CD. A parte difícil é fazer a transição
da cultura organizacional que vê a governança como
uma torre de marfim, ou um exercício de padrões
top-down, para uma prática de tomada de decisão
colaborativa.

A melhor ferramenta para isso é a formação de

equipes multidisciplinares, de forma que cada
perspectiva (gestão de produtos de API, design de
negócios, orientação de arquitetura, compliance de
segurança, privacidade de dados, design de software,
por exemplo) esteja envolvida quando e onde for
necessário na elaboração do desenho do seu negócio
digital.

Cada design de API é marcado por características

relevantes, como o tipo de API, classificação
de segurança e domínio de negócios. Essas
características não só provocam verificações de
governança automatizadas nos pipelines de CI-CD,
mas também, por meio de ferramentas de workflow
e ciclo de vida da API, podem garantir que os Os líderes começarão ou ampliarão a adoção da governança adaptativa e, ao mesmo tempo, protegerão
esforços colaborativos de design tenham realmente designs críticos de assets que criam agilidade para seus negócios digitais, e facilitarão a velocidade e a
produzido as aprovações necessárias de cada agilidade de software low-level para que os desenvolvedores possam fazer seu trabalho.
stakeholder relevante.
 22 Índice

As tendências que aceleram as estratégias de Open-ended Business, business de plataforma, gestão de

produtos de API e governança adaptativa pressionam a gestão de APIs, tanto como disciplina quanto
5. como categoria de produto. Para os líderes do mercado que buscam isso, a gestão de APIs não serve
simplesmente para catalogar e aplicar políticas de segurança às APIs. Em vez disso, se torna um elemento
A gestão de APIs central das estratégias de negócio digitais - e eles precisam muito mais disso. As principais formas de
se expande além expandir as soluções de gestão de APIs incluem:
do REST e chega a
eventos e mais
Feature-function genuína de gestão de produtos
Não serão apenas os ciclos de vida das APIs que importam, mas também os ciclos
de vida dos produtos de API que são os pontos de empacotamento e subscrição
para APIs. Definições de produtos de API são agregações mais complexas de APIs e
devem considerar vários requisitos comerciais e necessidades de suporte. Além disso,
gerenciar um produto de API é uma atividade mais de negócio do que técnica. Por
meio de funções em soluções de gestão de API e integração com outros produtos,
os provedores de API criarão processos e ferramentas para verdadeiras disciplinas de
gestão de produto para APIs.

Suporte avançado para tecnologias de interface além do REST

Embora algumas soluções de gestão de API tenham suporte inicial para GraphQL,
AsyncAPI e outros modelos, esse suporte geralmente carece de capabilities de
segurança refinadas e costuma fornecer apenas suporte básico para os modelos de
assinatura avançados possíveis para modelos de interação não REST.
 23 Índice

Capabilities mais avançadas para governança adaptativa

Poucas soluções de gestão de API têm alguma riqueza em seus sets de features de gestão de ciclo de vida.* Normalmente, quando
fornecedores e analistas usam o termo “gestão de API de ciclo de vida completo”, querem dizer que uma ferramenta apenas possui
funções que são úteis em diferentes estágios do ciclo de vida. Isso não significa, porém, que uma ferramenta pode realmente
gerenciar e governar a progressão de uma API ao longo do ciclo de vida. Por que isso não é feito por mais fornecedores? Porque
é muito difícil acertar na gestão e na governança do ciclo de vida. No entanto, por meio de controles de workflow integrados,
taxonomia e tagging, policy features mais avançadas, configuração de ciclo de vida mais simples e flexível, e integração com
gerenciamento de configuração e CI-CD, fornecedores que entenderem a importância da governança de APIs melhorarão a
capacidade de suas soluções de atender às necessidades críticas de modelos de governança adaptativa de APIs.

Melhor suporte ao ecossistema e gestão de relacionamentos

Com negócios de plataforma, há uma grande variedade de potenciais modelos de relacionamento nos ecossistemas atendidos
por APIs. Ao entregar e proteger adequadamente as APIs, outras interfaces digitais e os dados que fluem por elas, pode se fazer
necessário o entendimento da relação entre clientes e os clientes deles, serviços terceirizados, fornecedores e fornecedores deles,
parceiros e mais. Essas relações, juntamente com modelos de negócio, termos de contrato e regulações, podem afetar quais
interfaces digitais estarão disponíveis, além de como protegê-las.

Sua estratégia de plataforma de API deve considerar esses aspectos, independentemente de o fornecedor de gestão de API considerá-los ou não. No mínimo, você
deve levar em conta o quão ricas suas práticas de gestão de API devem ser e, em seguida, garantir que, seja comprando ou construindo, sua plataforma de API
tenha a feature para fornecer as capabilities necessárias.

*Normalmente, quando fornecedores de soluções e analistas utilizam o termo "gerenciamento de API de ciclo de vida completo", o que eles querem dizer é que uma ferramenta simplesmente tem funções que
são úteis a diferentes estágios do ciclo de vida - mas não querem dizer que uma ferramenta pode, de fato, gerenciar e fazer a governança da progressão de uma API ao longo do ciclo de vida.
 24 Índice

Nos últimos anos, alguns players cometeram um grande erro em relação às APIs, e isso será corrigido
conforme os programas de API das empresas se tornarem mais estratégicos como facilitadores de
6. negócios digitais. O erro está no fato de equipararem APIs à integração, às vezes acoplando fortemente a
criação de APIs à ferramenta de integração. Para um usuário de APIs, a implementação não importa. As
APIs se combinam APIs podem ser originadas de uma ampla variedade de elementos subjacentes. Tudo o que importa é que
a low-code e elas forneçam a capability necessária com a qualidade de serviço adequada.
cloud-native para
A visão equivocada (de que as APIs são apenas uma extensão da arquitetura e da infraestrutura de
maior agilidade de integração) tem sido uma visão limitada e, às vezes, de interesse próprio. Plataformas de integração são
implementação apenas uma das fontes de APIs. Com a mesma importância, suas APIs virão de código personalizado,
soluções criadas previamente, infraestrutura de tecnologia e mais. Soluções cloud-native, baseadas em
microsserviços, têm APIs como cidadãs de primeira classe. Outras APIs virão diretamente de soluções
SaaS. É possível criar uma API de negócio combinando várias APIs de uma ou mais soluções SaaS, legadas

APIs podem ser originadas

de uma ampla variedade de
elementos subjacentes.
 25 Índice

ou personalizadas. Suas APIs (talvez até aquelas

individuais) residirão em vários ambientes
de nuvem híbridos. Por fim, os limites entre
desenvolvimento de aplicativo e integração
estão se confundindo. Algumas APIs podem
ser construídas usando ambos ou, para atender
às necessidades técnicas e de negócio de uma
determinada API, desenvolvedores talvez tenham
que escolher entre uma linha de desenvolvimento
de aplicativo e outra de integração para criar APIs.

À medida que seus programas de API e iniciativas

digitais amadurecem, mais empresas notarão
as APIs como grandes impulsionadoras das
arquiteturas de suas soluções (e de seus negócios)
e perceberão o erro de acoplar fortemente APIs
e integração. Elas verão a necessidade de maior
agilidade na criação e obtenção de APIs. Também
criarão arquiteturas e processos com uma gama
mais ampla de opções para implementação de ganham melhores arquiteturas e maior adoção, elas obtêm features e credibilidade para implementação
APIs e interface digital. Duas fontes específicas de de APIs. Ter o low-code como uma opção na caixa de ferramentas de implementação de APIs facilita dois
implementação de APIs são dignas de nota: low- aspectos importantes da estratégia de APIs. Primeiro, expande o público potencial de desenvolvedores
code e microsserviços. para incluir pessoas com menos experiência em codificação, o que se torna ainda mais necessário dada a
atual escassez global de mão de obra. Em segundo lugar, mesmo para aqueles com níveis mais elevados
As plataformas low-code visam entregar soluções de experiência, fornece uma implementação rápida para muitas APIs.
com mais rapidez e menos codificação. Conforme
 26 Índice

Na outra extremidade do espectro, à medida que aplicações em microsserviços e cloud-native ganham maturidade e adoção, APIs serão cada vez mais construídas
em uma variedade de arquiteturas de containers e plataforma em cloud, usando diversas linguagens. Esses ambientes geralmente exigem níveis muito altos de
habilidade do desenvolvedor (a menos que as equipes de plataforma tenham desenvolvido padrões que auxiliem aqueles com menos habilidade). Entretanto,
como não impõem um modelo de desenho, permitem uma gama mais ampla de estilos de aplicação, interfaces digitais (incluindo eventos e streaming) e
características de qualidade de serviço. Ao mesmo tempo, apresentam novos desafios para arquitetos e desenvolvedores de API, como:

Busca pelo equilíbrio entre a liberdade do

Necessidade de coordenar ações de reforço de
publicação e políticas em service meshes, API
gateways e na respectiva solução de gestão de
API.
desenvolvedor e a ampla flexibilidade de uso
Necessidade de os desenvolvedores
da plataforma com os custos de complexidade
considerarem cuidadosamente não apenas
que surgem quando cada equipe tem sua
as implicações técnicas de suas decisões
própria arquitetura. Para lidar com esses
referentes à arquitetura de soluções, mas
custos de complexidade, empresas formarão
também as implicações financeiras. Afinal,
equipes de plataforma (para microsserviços
modelos de preço e custo de serviços cloud
e outros aspectos de suas estratégias) que
variados podem resultar em perfis de custo
criarão, testarão e oferecerão suporte a
muito diferentes no nível da solução.
plataformas flexíveis e coerentes para as várias
equipes de desenvolvimento.

Incorporar uma variedade de fontes de API e estilos de criação em sua estratégia de APIs melhorará sua gama de opções e a flexibilidade de implementação. Cada
nova opção vem, no entanto, com custos indiretos de manutenção de skills, infraestrutura, relação com fornecedores e mais. Portanto, tenha várias opções de
entrega de API e crie sua arquitetura para facilitar o uso combinado de todas elas, mas evite aquelas que defendem uma abordagem any-tool-goes irrestrita.
 27 Índice

Quando as APIs começaram como construções de software low-level incrustadas em várias aplicações,
muitas vezes eram tidas como protegidas pela aplicação da qual faziam parte. Ou pensava-se que
7. estavam em um ambiente confiável que hackers não poderiam acessar. Às vezes, a suposição é que os
desenvolvedores darão a elas a segurança adequada. Assim, as APIs são muitas vezes deixadas sem gestão
Segurança de API e sem governança.
sofre verificações mais
rigorosas e ganha À medida que as empresas vêm utilizando mais APIs acessíveis pela internet, ficará cada vez mais claro
arquiteturas mais que elas são um vetor de ataques cibernéticos. Além de continuar, essa tendência deve acelerar, gerando
requisitos e inovação em torno da proteção contra ataques para APIs. Ao mesmo tempo, em termos de
robustas
confiança, as APIs também precisarão de modelos de autenticação e autorização mais avançados. Os
provedores de API devem dar total atenção ao conjunto geral de capabilities de segurança da API, bem
como quantas dessas capabilities devem ser aplicadas a qualquer API.

Tecnologias de Proteção de aplicação dá

inteligência de ataque suporte à segurança de
amadurecem API

Produtos de API e
modelos de negócio Varredura automatizada
mais ricos orientam em pipelines dev e
necessidades de produção
segurança

Segurança de API se Maior atenção à

expande a estilos de classificação de APIs e
interação além do REST segurança de dados
Maior uso de padrões
de segurança de API e
frameworks
Source: Randy Heffner
 28 Índice

Uma arquitetura de segurança de API abrangente começa com uma postura zero trust (confiança zero): segurança requer múltiplas camadas de defesa em vez
de apenas uma porta de entrada trancada com um ambiente confiável por trás. Ela opera ao longo do ciclo de vida, desde a identificação e criação da API até a
operação e descontinuação. Outro ponto importante: a arquitetura de segurança da API deve funcionar em coordenação com o ambiente ao seu redor, incluindo a
infraestrutura na qual APIs são executadas e as aplicações que as acessam.

Como a segurança da API possui muitos aspectos, é conveniente discuti-la em termos de subtendências. Mencionarei aqui algumas das mais importantes. Para
maior clareza, vou descrevê-las de forma independente. No entanto, quando combinadas, elas podem ser ainda mais poderosas:

Amadurecimento das tecnologias de inteligência de ataque

Se você escutar histórias de falhas de segurança, perceberá um tema recorrente: antes ou durante a violação propriamente dita, algo
fora do comum estava acontecendo. O uso de tecnologia que aplica inteligência artificial/machine learning e similares ao tráfego
de APIs ajuda a identificar anomalias em volumes de chamadas, tentativas de autenticação, sequências de chamadas, formatos de
mensagem, respostas de API e mais.

Proteção às aplicações contribui com a segurança da API

Com muita frequência, falhas nas APIs acabam sendo falhas nas aplicações. É como se você desse a um amigo uma chave reserva
da sua casa, ele fosse assaltado e o criminoso tivesse a chave para acesso livre pela porta da frente. Não havia nada de errado com
a fechadura: a segurança do seu amigo foi violada. Seja por meio de impressões digitais de aplicativos que usam APIs, inteligência
de ataque relacionada aos padrões do usuário da API ou outras técnicas, as ferramentas e tecnologias de nível de API darão mais
atenção ao caminho para as APIs.
 29 Índice

Varredura automatizada em pipelines de desenvolvimento e produção

Tanto em pipelines de CI-CD quanto em ambientes de produção, a varredura automatizada e a verificação de compliance política se
tornarão mais predominantes. Isso incluirá varreduras tradicionais para práticas de codificação seguras, juntamente com varreduras
de definições de API, catálogos de API, configurações de gateway, infraestrutura de tempo de execução e firewalls – até mesmo
sniffing de rede para identificar APIs não autorizadas de desenvolvedores que ignorarem seus processos de segurança de API.

Maior atenção à classificação de APIs e dados de segurança

Nem toda API requer os mais altos níveis de segurança que sua plataforma pode oferecer. Como saber se o nível certo de segurança
está sendo aplicado? Uma técnica chave é utilizar tags para marcar APIs com características que determinam requisitos de
segurança e orientam processos de downstream build, configuração e validação. Essas tags podem incluir um domínio de capability
de negócio (RH ou marketing, por exemplo), categoria de proteção de dados (PCI, HIPAA, PII, por exemplo), propriedade de dados
(dados de propriedade da empresa, de propriedade do cliente, por exemplo) ou qualquer outra distinção importante para as políticas
de segurança de uma empresa. Tags também podem ser aplicadas a schemas usados por APIs e acumuladas no nível de definição
da API. Tudo isso funciona melhor quando suas ferramentas de design, catálogo, gestão e governança de API têm forte suporte para
várias estratégias de classificação, agrupamento e utilização de tags – e ainda melhor quando são capazes de orientar e controlar
workflows de governança de APIs e ciclo de vida.
 30 Índice

Maior utilização de padrões e frameworks de segurança de API

Seu conjunto de APIs pode ter 100 combinações diferentes de requisitos de segurança. Porém, assim como seria imprudente fazer
com que todos eles aderissem aos requisitos de segurança mais rígidos de suas APIs mais sensíveis, também seria imprudente
(e propenso a erro) tentar personalizar totalmente todos os aspectos de segurança para cada API. O meio termo entre esses dois
extremos é criar um conjunto gerenciável de padrões de segurança: combinações de esquema de autenticação, parâmetros de
autorização, validação de propriedade de dados, troca de tokens e federação de identidade, verificações de segurança do lado do
cliente ou qualquer outro aspecto. Com base nas tags e nas características da API, os desenvolvedores podem usar um padrão
comprovado e testado que fornece o nível de segurança apropriado para cada API.

Segurança de API se expande a estilos de interação além do REST

À medida que estratégias de API se expandem para abranger outros estilos de interação e tecnologias, como GraphQL, AsyncAPI,
WebSocket ou Kafka, sua arquitetura e estratégia de segurança também precisam se expandir. Enquanto as chamadas de API REST
normalmente associam a identidade do solicitante à própria solicitação, eventos funcionam ao contrário. Um evento normalmente
começa apenas com o evento. A menos que seja aceitável para cada assinante receber todos os eventos em um fluxo, isso requer
uma especificação cuidadosa de políticas e uma aplicação cuidadosa delas em todo o fluxo, do event source ao event sink, para
garantir que o evento seja entregue apenas a destinatários devidamente autenticados e autorizados. Um cenário análogo se aplica
ao design de um gráfico de dados e acesso a ele via GraphQL.

Produtos de API e modelos de negócio mais avançados impulsionam necessidades de segurança

À medida que as APIs se tornam a base de mais negócios (e mais tipos de negócio) em cadeias de valor e ecossistemas, as nuances
das relações de negócio, modelos de negócio, requisitos de confidencialidade, design de produtos de API, requisitos de integridade
de processos, e mais, gerarão novos cenários de segurança de federação de identidade, novas opções para incluir elementos
contextuais em esquemas de autenticação e autorização, e outros aspectos avançados de habilitação de confiança.
 31 Índice

Essas tendências atuarão em conjunto com a

crescente maturidade de elementos tradicionais
de segurança de API, como gateways de API,
service meshes, federação de identidade
usando OAuth2 e JWT e muito mais. As soluções
de gestão de API têm features importantes

API
para proteção de APIs e vão expandi-las ainda
mais, mas não terão (tampouco devem) ter
como objetivo atender a todos esses requisitos
por conta própria. Conforme as equipes de
tecnologia se tornam mais conscientes dos
problemas e profundas complexidades da
segurança de APIs, a adoção de arquiteturas de
segurança de API e ofertas de produtos mais
robustos crescerá ao longo de 2022.
 32 Índice

Juntando tudo
 33 Índice

Essas tendências não são apenas tendências. São as melhores práticas para construir um negócio digital DevOps se expande até a
4
preparado para disrupção contínua e reconfiguração constante de processos, modelos e ecossistemas de governança adaptativa
negócios. Elas se complementam e se apoiam, começando com foco no sucesso do seu negócio digital em
Plataformas de negócio e produtos de API
nosso mundo cada vez mais interconectado: evidenciam que seu software é o seu negócio,
aumentando a importância do design e da
O Open Business se torna o governança de software com base em domínio.
1 Uma governança flexível, automatizada e
novo normal
inteligente permite que você aplique a quantidade
Quando o Open Business se torna seu modo normal de negócio, APIs públicas permitem que sua
certa de governança a cada software asset para
organização prospere à medida que as cadeias de valor, modelos de negócio e concorrência mudem e
manter sua arquitetura no caminho certo.
evoluam continuamente.

Do Open Business ao
2
Open-ended Business Gestão de APIs
5
além do REST
Levando os conceitos de APIs abertas ao core da sua arquitetura de software, você cria uma agilidade
de negócio mais profunda para uma ampla gama de grandes e pequenas transformações e disrupções Negócios interagem por meio de processos
digitais. e fluxos event-driven, bem como trocando
dados e transações. Portanto, plataformas de
Business de plataforma e produtos
3 Open-ended Business precisarão de modelos
de API se tornam centrais
de interconexão baseados em eventos e
Apesar de os produtos de API serem importantes para o Open Business, a mudança para o Open-ended
outros, somados ao modelo request-reply das
Business aumenta a visibilidade dos produtos de API, uma vez que você começa a pensar no seu negócio
APIs REST.
como uma plataforma para uma ampla variedade de modelos de negócio e oportunidades.
 34 Índice

Low-code e cloud-native aumentam a Embora navegar com sucesso pela disrupção moderna exige mais do que excelência em gestão de APIs e
6
agilidade da implementação interfaces digitais, estas fornecem um ponto de alavancagem importante e crítico para mudanças rápidas
em negócios. Quanto mais bem desenhadas e protegidas forem suas interfaces digitais, mais preparado
Para endereçar a escassez de mão de obra
qualificada e permitir que suas APIs atendam você estará para o que vier, seja uma recessão, concorrência de origem inesperada, novas oportunidades
a cenários muito variados, sua arquitetura repentinas de parceria ou a próxima pandemia.
deve permitir uma continuidade completa
de implementações de API, desde low-code
(muitas vezes usada por desenvolvedores menos
Quer saber como a Sensedia ajuda você a aproveitar essas tendências de API?
habilidosos) até microsserviços cloud-native de
Fale agora com a gente: comunicacao@sensedia.com
ponta, e tudo que está compreendido entre esses
dois extremos.

Arquiteturas de segurança de API

7
ficam mais profundas e robustas
À medida que as APIs ganham visibilidade,
produtos e estratégias para protegê-las recebem
maior investimento e inovação. A criação de
uma arquitetura abrangente zero trust garante
proteção contra ataques, uso não autorizado e
violações de privacidade delicadas e onerosas.
Sobre o
autor
Randy Heffner
Analista independente da indústria de software
Com 40 anos de experiência em
software, incluindo 20 anos como
principal analista de APIs no Forrester
Research, é especializado em
estratégias de integração, arquitetura
de soluções e em como APIs conduzem
a inovação e negócios digitais.
Saiba mais
Sobre a
Sensedia
A Sensedia é líder no fornecimento de soluções
integradas com uma base global de clientes,
distribuídos por diversas verticais. Seu portfólio inclui
uma plataforma de API Management, Adaptive
Governance, Events Hub, Service Mesh, Cloud
Connectors e equipes estratégicas de Professional
Services. Somos reconhecidos pelo Forrester como
“líderes” em estratégias e serviços de APIs.
Saiba mais sobre nós
Conectando ideias, pessoas e negócios.

Saiba mais sobre a Sensedia Acesse nossos conteúdos e fique por dentro Fale com um de nossos especialistas