¿En que me ayuda ANSIBLE en mi compañía?

Transformando la Eficiencia Empresarial: Los Beneficios de ANSIBLE en Nuestra Compañía

Transformando la Eficiencia Empresarial: Los Beneficios de ANSIBLE en Nuestra Compañía

La importancia y los beneficios de la automatización de procesos

En el dinámico entorno empresarial actual, la búsqueda de eficiencia, agilidad y mejora continua es fundamental para el éxito de cualquier compañía. En este contexto, ANSIBLE se presenta como una herramienta de automatización líder que puede desempeñar un papel crucial en la optimización de operaciones y procesos en tu organización. A continuación, exploraremos cómo ANSIBLE puede brindar beneficios tangibles y transformar la manera en que operamos.

Eficiencia Operativa: ANSIBLE se convierte en un aliado poderoso cuando se trata de aumentar la eficiencia operativa en tu compañía. Al automatizar tareas repetitivas y rutinarias, ANSIBLE libera a tus equipos de trabajo de la carga de realizar acciones manuales tediosas. Tareas como aprovisionar y configurar servidores, implementar actualizaciones de software o gestionar configuraciones de red pueden ser ejecutadas con precisión y rapidez por ANSIBLE. Esto no solo reduce el tiempo empleado, sino que también disminuye drásticamente la probabilidad de errores humanos, lo que resulta en un aumento de la calidad y la confiabilidad en los procesos.

Agilidad Empresarial: La agilidad se ha convertido en una necesidad vital para adaptarse a los cambios constantes del mercado. ANSIBLE juega un papel clave en la agilidad de tu compañía al permitir despliegues y configuraciones rápidas y consistentes. En lugar de dedicar tiempo valioso a configuraciones manuales, ANSIBLE permite la implementación continua y la entrega de software a través de scripts predefinidos. Esto significa que tu compañía puede reaccionar de manera más ágil a las demandas del mercado y a las oportunidades emergentes, manteniendo siempre una ventaja competitiva.

Gestión de Infraestructura Simplificada: Una de las áreas en las que ANSIBLE brilla es en la gestión de infraestructura. La herramienta permite administrar de manera centralizada y coherente la configuración de sistemas y recursos en tu compañía. Ya sea que estés trabajando con servidores en la nube, máquinas virtuales o dispositivos de red, ANSIBLE te brinda la capacidad de definir y aplicar configuraciones precisas y coherentes en toda tu infraestructura. Esto no solo garantiza la uniformidad, sino que también simplifica enormemente la administración y el mantenimiento a lo largo del tiempo.

Seguridad y Cumplimiento: En un entorno donde la seguridad y el cumplimiento son prioritarios, ANSIBLE se convierte en un aliado invaluable. La herramienta puede automatizar la aplicación de políticas de seguridad y configuraciones de cumplimiento en toda la infraestructura. Esto garantiza que tus sistemas estén siempre alineados con los estándares y regulaciones relevantes. Además, la automatización reduce el riesgo de configuraciones incorrectas que podrían comprometer la seguridad de la empresa. La capacidad de auditar y rastrear cambios a lo largo del tiempo también facilita la verificación de cumplimiento.

Escalabilidad sin Esfuerzo: A medida que tu compañía crece, es esencial que tus sistemas y procesos sean escalables. ANSIBLE se adapta perfectamente a este escenario, ya que puede manejar la administración de sistemas sin importar cuán grande sea tu infraestructura. La automatización a través de ANSIBLE permite que tus equipos gestionen una mayor cantidad de sistemas sin aumentar proporcionalmente la carga de trabajo. Esto significa que puedes expandir tus operaciones sin sacrificar la calidad o la eficiencia.

Colaboración Mejorada: ANSIBLE no solo beneficia a equipos técnicos, sino que también mejora la colaboración entre diferentes departamentos y equipos en tu compañía. Al estandarizar y documentar procesos a través de playbooks y scripts, ANSIBLE facilita la comprensión y la cooperación entre equipos. Los procesos de configuración y despliegue se vuelven más transparentes y menos dependientes de conocimientos individuales, lo que garantiza una colaboración fluida y efectiva.

ANSIBLE emerge como una herramienta integral para mejorar la eficiencia, la agilidad y la calidad en tu compañía. Desde la automatización de tareas cotidianas hasta la gestión de infraestructura a gran escala, ANSIBLE puede transformar la forma en que operamos y nos adaptamos a un entorno empresarial en constante cambio. Al adoptar ANSIBLE, tu compañía en Colombia estará mejor posicionada para enfrentar desafíos y aprovechar oportunidades, llevando la optimización operativa a un nivel completamente nuevo.

TICXAR: Wins the Emerging Partner of the Year 2022

TICXAR ha sido seleccionado como Socio Emergente del Año 2022

 

Estamos muy felices por este logro alcanzado, el cual es el resultado del esfuerzo y compromiso, sumado a las capacidades de nuestro talento humano que nos ha permitido ejecutar diferentes proyectos exitosos con los productos de WSO2 en clientes de diversos sectores de la economia, tanto publicos como privados, en paises como: Colombia, Ecuador, Peru, España, Brasil, Estados Unidos y Argentina.

Esto nos llena de entusiamo para convertirnos en uno de los lideres referentes en el mercado hispanoamericano, propiciando la aceleración de la adopción de la tecnología de integración y gestión de identidades en nuestros clientes, asi, ayudarles en su viaje de transformación digital.

Gracias a nuestros clientes, reiterando que nuestro compromiso definitivamente es y será el mismo; Retarnos para seguir aprendiendo, y para seguir contribuyendo a la construcción de esta nueva evolución digital” .

 

“La tecnología no es nada. Lo importante es que tengas fe en la gente, que sean básicamente buenas e inteligentes, y si les das herramientas, harán cosas maravillosas con ellas” – Steve Jobs. 

     Queremos ser su aliado tecnológico

Permítanos conocer sus requerimientos y desarrollar una estrategia de automatización innovadora para su empresa.

Capacidades críticas para la gestión de API de ciclo de vida completo 2022

Publicado el 15 de noviembre de 2022 – ID G00760079 – 44 minutos de lectura

Por Shameen Pillai, Kimihiko Iijima, Mark O’Neill, John Santoro, Paul Dumas, Akash Jain

Las soluciones de administración de API de ciclo de vida completo permiten a los usuarios crear, ejecutar y mantener una estrategia de API efectiva, pero seleccionar los productos correctos es difícil. Los líderes de ingeniería de software deberían usar esta investigación para evaluar y comparar las capacidades de 17 productos en cinco casos de uso.
Descripción general

Resultados clave: Las herramientas de administración de API de ciclo de vida completo continúan siendo populares entre los desarrolladores que adoptan las API como elementos centrales para el desarrollo de aplicaciones y servicios. Dada la amplia gama de opciones tecnológicas, a los líderes de ingeniería de software les resulta difícil seleccionar los productos adecuados para sus necesidades.

Los proveedores de administración de API están madurando sus capacidades para el control de acceso de API, el diseño e implementación de API y la flexibilidad de implementación, mientras que su monetización de API, informes de valor comercial y microservicios y soporte de malla de servicio son generalmente menos maduros.

La mayoría de las implementaciones de gestión de API se dividen en cinco casos de uso: arquitectura multiexperiencia, integración mediante API, gestión de API interna, API de producción y gestión de API distribuida.Las estrategias de computación multinube y la computación sin servidor son cada vez más populares. Esto y la creciente mercantilización de las puertas de enlace de API están generando nuevos requisitos de los clientes para la gestión de API distribuida que admita la gestión y el control de las API a través de puertas de enlace de API múltiples y, a menudo, de terceros.

Recomendaciones

Los líderes de ingeniería de software responsables de las tecnologías API deben:

  • Cree una lista priorizada de los requisitos de tecnología de administración de API de su organización al obtener comentarios del equipo de la plataforma API, los desarrolladores de API, los gerentes de productos y los equipos de seguridad.
  • Defina los casos de uso principales de su organización seleccionando entre los cinco casos de uso según sus requisitos, o utilizando la herramienta interactiva para crear sus propios casos de uso.
  • Preseleccione las soluciones de proveedores más adecuadas para cada caso de uso mediante la evaluación de productos en función de sus calificaciones y descripciones, incluidas las características específicas del producto y los servicios auxiliares.
Lo que necesitas saber

Evaluamos 17 ofertas de proveedores de administración de API de ciclo de vida completo en función de 14 capacidades que identificamos como críticas para respaldar las necesidades comerciales en evolución. Ponderamos estas capacidades críticas en términos de su importancia relativa para cinco casos de uso principales:

  • Arquitectura multiexperiencia: las organizaciones utilizan con frecuencia API para crear aplicaciones móviles y otras aplicaciones multiexperiencia, lo que requiere una gestión de API de ciclo de vida completo para el consumo y la seguridad adecuada.
  • Integración mediante API: la mayoría de las organizaciones utilizan API para integrar aplicaciones, servicios y negocios. Estas API deben gestionarse durante todo el ciclo de vida.
  • Gestión interna de API: las API son componentes clave para la entrega de aplicaciones empresariales a escala. El descubrimiento, el acceso y el uso de las API internas deben administrarse y gobernarse.
  • API de producción: las API que se comparten externamente y se usan fuera de una sola aplicación deben tratarse de manera que terceros o clientes puedan crear y ampliar aplicaciones.
  • Administración de API distribuida: más organizaciones están utilizando múltiples puertas de enlace de API para admitir estrategias híbridas y de múltiples nubes, lo que requiere un enfoque de administración de API modernizado.

Nuestro equipo de analistas ha evaluado cada producto de administración de API de ciclo de vida completo en función de 14 capacidades críticas. Nuestro análisis se basa en la respuesta de cada proveedor a nuestro cuestionario de evaluación, así como en los comentarios de los clientes a partir de consultas y revisiones de Gartner Peer Insights.

Las capacidades críticas para la administración de API de ciclo de vida completo son:

  • Control de acceso a la API
  • Consumo de API
  • Diseño e implementación de API
  • Mediación de API
  • Monetización de API
  • Protección de API
  • Pruebas de API
  • Informes de valor comercial
  • Flexibilidad de implementación
  • Portal para desarrolladores
  • Impulsado por eventos y transmisión
  • Federación de puerta de enlace
  • Microservicios y malla de servicios
  • Control de versiones y API.

Los líderes de ingeniería de software deben usar esta investigación para comprender los casos de uso clave y las capacidades de los productos de administración de API de ciclo de vida completo y para comparar estos productos. Deben evaluar la oferta de cada proveedor en función de su capacidad para satisfacer sus necesidades de desarrollo de aplicaciones. También deben evaluar la hoja de ruta del producto de cada proveedor para garantizar la alineación con su estrategia y objetivos comerciales a largo plazo (consulte el Cuadrante mágico complementario para la gestión completa de la API del ciclo de vida).

 Análisis

Gráficos de casos de uso de capacidades críticas
Puntuaciones de productos de los proveedores para el caso de uso de la arquitectura multiexperiencia

Vendedores

 

WSO2

Las ofertas de gestión de API de ciclo de vida completo de WSO2 son WSO2 API Manager, una solución de gestión de API de código abierto, y Choreo, una solución basada en la nube con un modelo de suscripción PaaS. La funcionalidad API Manager Analytics de WSO2 se ofrece como un servicio integrado en Microsoft Azure.


WSO2 combina la gestión de API con sólidas capacidades de integración. Tanto WSO2 API Manager como Choreo permiten que las integraciones se expongan como API administradas en arquitecturas en la nube, locales, nativas de contenedores e híbridas. WSO2 API Manager proporciona un sólido control de acceso a la API a través de WSO2 Identity Server y admite Okta, PingFederate, Red Hat (Keycloak) y ForgeRock. También tiene sólidas capacidades de mediación de API que habilitan backend para patrones frontend para escenarios móviles y de múltiples experiencias.


WSO2 proporciona aceleradores tanto para la banca abierta como para la industria de la salud. Este último incluye soluciones para el cumplimiento de la regla final de acceso de pacientes CMS 9115-F de EE. UU. (para pagadores de atención médica de EE. UU.) y para el cumplimiento de la regla de bloqueo de información ONC (para proveedores de atención médica de EE. UU.).


WSO2 API Manager recibió su puntaje de caso de uso más alto de bueno para la arquitectura multiexperiencia. También recibió una buena puntuación por la integración mediante el caso de uso de las API y recibió puntuaciones justas en todos los demás casos de uso.

Contexto

Las API se usan ampliamente como la opción principal para conectar sistemas, aplicaciones y cosas; integrar socios comerciales; y construir arquitecturas de software modulares y componibles. El uso de API como productos digitales monetizados directa o indirectamente también está en aumento. El avance de las iniciativas de transformación digital ha acelerado la necesidad de creación, gestión, operaciones y seguridad de las API, y ha convertido la gestión de API del ciclo de vida completo en una capacidad fundamental fundamental para todas las organizaciones.

El mercado de proveedores de gestión de API de ciclo de vida completo evoluciona y madura continuamente. El panorama actual de proveedores incluye una combinación de proveedores de tecnología de gobernanza y puerta de enlace de la era de la arquitectura orientada a servicios (SOA), proveedores de soluciones de integración, plataformas de código abierto, conglomerados de software empresarial y plataformas en la nube. Con el creciente número de proveedores de puertas de enlace API de nueva generación y de bajo impacto (proveedores que se basan en tiempos de ejecución existentes, adquisiciones y asociaciones que ofrecen enfoques de soluciones de múltiples proveedores), los líderes de ingeniería de software se enfrentan a una vertiginosa variedad de opciones. A muchos les resulta difícil seleccionar la mejor solución para las necesidades de su organización. Es aún más difícil encontrar soluciones con el soporte adecuado para una estrategia de solución que mejor se adapte.

Los proveedores de plataformas en la nube también han agregado capacidades de administración de API. El aumento de la demanda de las organizaciones que adoptan estrategias de computación en múltiples nubes y un aumento en la mercantilización de las puertas de enlace API, junto con la creciente popularidad de las puertas de enlace micro o nativas de la nube y más livianas, ha llevado al mercado a moverse hacia la gestión de API distribuida. Este enfoque admite múltiples tiempos de ejecución de puerta de enlace bajo un plano de control y administración unificado.

Las empresas buscan socios proveedores eficaces y preparados para el futuro, pero económicamente viables, que les ayuden a tener éxito en el desarrollo, la implementación y el control de su estrategia de API. Algunos proveedores se centran en aspectos específicos de la gestión del ciclo de vida de las API (como el diseño o las pruebas de las API) y coexisten con otros que ofrecen capacidades complementarias, como una puerta de enlace de API. Los líderes de ingeniería de software deben utilizar el proceso de evaluación metódica basada en capacidades y en casos de uso descrito en esta investigación para seleccionar la oferta de administración de API de ciclo de vida completo adecuada para sus necesidades.

Definición de clase de producto/servicio

Gartner define la gestión de API de ciclo de vida completo como el mercado de software que admite todas las etapas del ciclo de vida de una API: planificación y diseño, implementación y prueba, implementación y operación, y control de versiones y retiro.

Las organizaciones usan API para modernizar sus arquitecturas; integrar eficientemente sistemas, servicios y socios; y para crear y monetizar datos y servicios. El software de administración de API de ciclo de vida completo permite que las organizaciones descubran, diseñen, desarrollen, administren y protejan las API, independientemente de su tamaño, región o industria. Estas herramientas ayudan a las organizaciones a mejorar la componibilidad, la seguridad y la resiliencia empresarial, y a acelerar su crecimiento.

Las capacidades obligatorias para la gestión de API de ciclo de vida completo son:

  • Portales para desarrolladores: proporcione un catálogo de autoservicio de API para habilitar, comercializar y gobernar ecosistemas de desarrolladores que producen y consumen API.
  • Puertas de enlace de API: proporcione o integre con puertas de enlace de terceros para la gestión del tiempo de ejecución, la seguridad, la aplicación de políticas, la limitación, el control operativo y la supervisión del uso de las API.
    Análisis y administración de políticas: proporcione configuración de seguridad, mediación de API y análisis de uso de API.

Las capacidades opcionales para la administración de API de ciclo de vida completo incluyen:

  • Diseño y desarrollo de API: brinde una experiencia de desarrollador significativa y herramientas para diseñar y crear API y habilitar el uso de API para los sistemas existentes.
  • Pruebas de API: proporcione una variedad de capacidades de prueba, desde pruebas simuladas básicas hasta pruebas funcionales, de rendimiento y de seguridad avanzadas de las API.
  • Capacidades avanzadas: habilite modelos comerciales basados en API, monetización, gestión de ecosistemas y gobernanza automatizada.

Este articulo fue tomado del portado de Gartner Reprint, si quieres leerlo en el idioma original, completo o más información accede al siguiente link: https://www.gartner.com/doc/reprints?id=1-2BR3Q4HB&ct=221118&st=sb

TICXAR te desea un Feliz Año 2023

Feliz Navidad y prospero año nuevo 2023


Estamos sumamente felices y agradecidos por contar con un equipo que trabaja con amor y pasión, esta familia ha crecido en un 110% y de la misma manera nuestros clientes… !¡Que claro! también son familia, 10 nuevos clientes se sumaron para enseñarnos y para confiar en nosotros que haremos lo mejor.

Feliz año nuevo 2023 te desea TICXAR. Gracias por crecer junto a nosotros. Gracias a todos por ser parte de esta gran familia, por todo el esfuerzo y por seguir depositando la confianza en nosotros.

     Queremos ser su aliado tecnológico

Permítanos conocer sus requerimientos y desarrollar una estrategia de automatización innovadora para su empresa.

¿Cómo hacer una implementación Gateway y capa de interoperabilidad con los productos WSO2 en Kubernetes?

Te gustaría saber cómo se implementa Gateway en una capa de interoperabilidad con WSO2 en Kubernetes

 
En el siguiente video podrás encontrar de como podrás hacerlo, quieres más información o tienes alguna duda, escríbenos será un gusto para nosotras ayudarte.
Acrónimos 
Servicios: Conjunto de funcionalidades desarrolladas de acuerdo con el paradigma de la Orientación de Servicios.
MI: Bus de servicios, utilizado para virtualizar y apoyar tareas de mediación dentro de la implementación de lógica de negocio en los componentes del servicio, es el directo responsable por ofrecer las capacidades de mediación (transformación, homologación, conversión, enrutamiento de mensajes y/o datos).
AM: Componente que permite la gestión (documentación, publicación, aseguramiento y control) de APIs REST que apalancan la integración de manera estándar y segura con proveedores, socios de negocio y el Gobierno (Estado de un País). Adicionalmente habilita la exposición de funcionalidad para apalancar temas de movilidad. Este componente implementa el elemento Administrador de APIs.

     Queremos ser su aliado tecnológico

Permítanos conocer sus requerimientos y desarrollar una estrategia de automatización innovadora para su empresa.

¡Ahora TICXAR es Partner Gold Value Added Reseller de WSO2!

WSO2 sigue fortaleciendo su estrategia de canales en Latinoamérica, ahora de la mano de TICXAR, empresa Colombiana

El sector de los Canales es muy importante para WSO2 y representa el 60% de las ventas de la empresa en América Latina.
30 de noviembre, 2022 – WSO2, empresa de software de código abierto líder en tecnología de transformación digital, anunció que su socio de canal TICXAR, que ofrece servicios de consultoria especializada para la creación de activos digitales a traves de APIs, cambió de categoría al pasar de socio de integración a revendedor de valor agregado (VAR, por sus siglas en inglés) de nivel Gold.

Este cambio responde a la estrategia de WSO2 de fortalecer al sector de canales en Latinoamérica, una de las grandes prioridades de la empresa en la región. En 2020, WSO2 invirtió en expandir significativamente tanto su equipo como la red de socios de Canal para apoyar las demandas de sus clientes en todo el mundo. 

Hace apenas un año, la organización contaba con alrededor de 26 socios; luego de un nuevo análisis en el último semestre, la empresa llegó a 30 socios de canal en LATAM. Hoy, estos representan el 30% de las ventas a nivel mundial en siete continentes y el 60% en América Latina.

“Al tener cada país diferentes regulaciones y requisitos, es importante asociarse con empresas que tengan un conocimiento profundo de lo que es necesario para la correcta implementación de soluciones en cada contexto. Este nuevo capítulo de la mano de TICXAR nos llena de entusiasmo porque los socios son parte fundamental en el desarrollo del negocio”, comentó Fernando Arditti, VP y Gerente General de la empresa para LATAM. 

La historia de TICXAR, que operaba inicialmente en la region latinoamericana, comienza en 2013, enfocada en brindar servicios especializados en tecnología, redes y desarrollo de software. En 2019, con una nueva visión y con el objetivo de fortalecer el crecimiento y expansión de la compañia, modificó su estrategia para convertirse en un tech work de innovación técnologico para la creación de activos de TI a través de APIs que le permite a las organizaciones habilitar diferentes canales digitales para generar diferenciación, disminuir sus costos operativos, aumentar la participación en el mercado y crear nuevas
fuentes de ingresos con servicios de consultoría especializada, arquitecturas SOA, microservicios, DevOps, contenedores, nube, modernización de aplicaciones, entre otros.

“Estamos muy felices por este logro alcanzado, el cual es el resultado del esfuerzo y compromiso, sumado a las capacidades de nuestro talento humano que nos ha permitido ejecutar diferentes proyectos exitosos con los productos de WSO2 en clientes de diversos sectores de la economia, tanto publicos como privados, en paises como: Colombia, Ecuador, Peru, España, Brasil y Argentina. Esto nos llena de entusiamo para convertirnos en uno de los lideres referentes en el mercado hispanoamericano, propiciando la aceleración de la adopción de la tecnología de integración y gestión de identidades en nuestros clientes, asi, ayudarles en su viaje de transformación digital. Adicionalmente contribuir con resolver los diferentes desafios en el sector financiero con la banca abierta (Open Bancking), con las soluciones de WSO2.“, indicó Jorge Andres Piza, Chief Execute Officer de TICXAR.

El cambio de categoría le permitirá a la empresa Colombiana actuar en todo el ciclo de venta de las soluciones de WSO2, incluyendo la venta de suscripciones y también de sus propios servicios de valor agregado. Además, ahora como revendedores, están autorizados a vender directamente a empresas del sector público y privado, aumentando su poder de participación en el mercado.

“A través de esta asociación, fortaleceremos nuestros esfuerzos conjuntos para proporcionar a las organizaciones las tecnologías, los servicios y los procesos para lograr sus objetivos de transformación digital. Nuestro objetivo es atender las necesidades de distintos sectores, especialmente gobierno, salud, comercio electrónico y financiero, industrias que han acelerado exponencialmente su digitalización y que necesitan el respaldo de un brazo tecnológico sólido”, reforzó Rafael Oliveira, Jefe de Canales y Alianzas de WSO2 para Latinoamérica. 

     Queremos ser su aliado tecnológico

Permítanos conocer sus requerimientos y desarrollar una estrategia de automatización innovadora para su empresa.

Evolución de las arquitecturas de Software

 

Las empresas generalmente usan el software para estandarizar las comunicaciones y unificar la cultura corporativa; Elegir la solución correcta requiere que se considere el efecto que tendrá en las capacidades de colaboración y la eficiencia operativa de la misma.

Seleccionar la arquitectura correcta implica evaluar los puntos débiles de una organización, para poder compararlas con las capacidades de cada solución que se ha escogido.

Además, también es importante entender hacia donde se dirige, es por esto que hoy queremos hablarte un poco más de la Evolución de las Arquitecturas del Software, de cómo funcionaron y cómo funcionan hoy, en este video corto entenderás los factores esenciales que han logrado la innovación continua en la arquitectura.

     Queremos ser su aliado tecnológico

Permítanos conocer sus requerimientos y desarrollar una estrategia de automatización innovadora para su empresa.

ANDICOM 2022

ANDICOM2022 Impulso digital


Sabíamos que los principales actores de la industria TIC estarían reunidos en un solo lugar, Colombia Cartagena de Indias el 31 de agosto, 1 y 2 de septiembre en la feria de tecnología más grande e importante de la región, es por esto que TICXAR se preparó para estar allí con su aliado WSO2.

Este espacio nos permitió volver a conectar con nuestros clientes y compañeros de trabajo, renovar nuestra confianza en el sector y reafirmar como compañía, pero sobre todo como país que tenemos todo el potencial para construir y ejecutar una transformación digital competitividad, efectiva y a la medida de las organizaciones.

Durante el evento tuvimos la oportunidad de participar activamente, esto nos permitió llegar a más personas y hablares de cómo podemos ayudar a través de la tecnología.

A continuación, te compartimos las principales novedades de nuestra agenda en ANDICOM2022:

    1. Conferencia del CTO de WSO2 Eric Newcomer: Delivering Digital Experiences: Why the Right Platform is Key.
    2. Business Forum del CEO de TICXAR Andrés Piza: Descubra como un empresa líder en Colombia construyó su arquitectura tecnológica enfocada en el uso de APIs

     Queremos ser su aliado tecnológico

Permítanos conocer sus requerimientos y desarrollar una estrategia de automatización innovadora para su empresa.

¿Qué es DevSecOps?

DevSecOps

DevSecOps significa desarrollo, seguridad y operaciones. Se trata de un enfoque que aborda la cultura, la automatización y el diseño de plataformas, e integra la seguridad como una responsabilidad compartida durante todo el ciclo de vida de la TI.

Diferencias entre DevSecOps y DevOps

DevOps no solo concierne a los equipos de desarrollo y operaciones. Si desea aprovechar al máximo la agilidad y la capacidad de respuesta de los enfoques de DevOps, la seguridad de la TI también debe desempeñar un papel integrado en el ciclo de vida completo de sus aplicaciones.

¿A qué se debe? Antes, el papel de la seguridad estaba aislado y a cargo de un equipo específico en la etapa final del desarrollo. Cuando los ciclos de desarrollo duraban meses o incluso años, no pasaba nada. Pero eso quedó en el pasado. Una metodología efectiva de DevOps garantiza ciclos de desarrollo rápidos y frecuentes (a veces de semanas o días), pero las prácticas de seguridad obsoletas pueden revertir incluso las iniciativas de DevOps más eficientes.

Actualmente, en el marco de trabajo en colaboración de DevOps, la seguridad es una responsabilidad compartida e integrada durante todo el proceso. Puesto que es un enfoque tan importante, se acuñó el término “DevSecOps” para enfatizar la necesidad de crear una base de seguridad en las iniciativas de DevOps. 

Esta nueva práctica implica pensar desde el principio en la seguridad de las aplicaciones y de la infraestructura. También implica automatizar algunas puertas de seguridad para impedir que se ralentice el flujo de trabajo de DevOps. A fin de cumplir con estos objetivos, es necesario seleccionar las herramientas adecuadas para integrar la seguridad de manera permanente, como acordar el uso de un entorno de desarrollo integrado (IDE) con funciones que permitan proteger los sistemas. Sin embargo, la seguridad efectiva de DevOps requiere más que herramientas nuevas; se basa en los cambios culturales de DevOps para integrar el trabajo de los equipos de seguridad lo antes posible.

Ya sea que lo llame “DevOps” o que prefiera “DevSecOps” para incorporar en el nombre la seguridad, lo ideal siempre ha sido incluirla como parte integral de todo el ciclo de vida de la aplicación. El término DevSecOps no se refiere a un perímetro de seguridad que rodea las aplicaciones y los datos, sino a la seguridad integrada. Si esta sigue quedándose al final del proceso de desarrollo, las empresas que adoptan DevOps corren el riesgo de volver a los largos ciclos que pretendían evitar desde el principio.

En parte, DevSecOps destaca la necesidad de que los equipos y los partners de seguridad adopten las iniciativas de DevOps desde el comienzo para incorporar medidas de protección de la información y establecer un plan para automatizarlas. También subraya la necesidad de ayudar a los desarrolladores a escribir códigos teniendo en cuenta la seguridad, lo cual implica que los equipos de seguridad compartan su perspectiva, los comentarios y la información valiosa sobre las amenazas conocidas. Posiblemente esto también implique que los desarrolladores tengan que capacitarse en seguridad, ya que el método tradicional para desarrollar aplicaciones no siempre ha hecho hincapié en el tema.

¿Qué significa la seguridad integrada en concreto? Para empezar, una buena estrategia de DevSecOps implica determinar la tolerancia a los riesgos y realizar un análisis de riesgos y beneficios al respecto. ¿Qué cantidad de controles de seguridad es necesaria en cierta aplicación? ¿Qué tan importante es la velocidad de comercialización para diferentes aplicaciones? La automatización de las tareas repetidas es clave para DevSecOps, ya que la ejecución de comprobaciones de seguridad manuales en el proceso puede requerir mucho tiempo.

La seguridad de DevOps está automatizada


Adopte ciclos de desarrollo cortos y frecuentes, integre medidas de seguridad con una interrupción mínima de las operaciones, manténgase al día con las tecnologías innovadoras (como los contenedores y los microservicios) y, al mismo tiempo, fomente una colaboración más estrecha entre los equipos que suelen estar aislados, lo cual es una tarea difícil para cualquier empresa. Todas estas iniciativas comienzan a nivel humano, con los pormenores de la colaboración en su empresa, pero la automatización facilita esos cambios humanos en un marco de DevSecOps.

¿Pero qué conviene automatizar y cómo se puede hacer? Hay una guía escrita que lo ayudará a responder estas preguntas. Las empresas deben dar un paso atrás y considerar todo el entorno de desarrollo y operaciones. Esto incluye los repositorios de control de código fuente, los registros de contenedores, el canal de integración e implementación continuas (CI/CD), la gestión de la interfaz de programación de aplicaciones (API), la organización y la automatización de los lanzamientos, y la gestión y la supervisión de las operaciones.

Las nuevas tecnologías de automatización han ayudado a que las empresas adopten prácticas de desarrollo más ágiles y también han contribuido a impulsar la creación de nuevas medidas de seguridad. Pero la automatización no es lo único que ha cambiado en el panorama de TI durante los últimos años; las tecnologías nativas de la nube, como los contenedores y los microservicios, son ahora una parte importante de la mayoría de las iniciativas de DevOps, y la seguridad de la plataforma debe adaptarse para cumplir con ellas.

 

La seguridad de DevOps se diseñó para los contenedores y los microservicios


La mayor escalabilidad y la infraestructura más dinámica habilitadas por los contenedores han cambiado la forma de hacer negocios de muchas empresas. Debido a esto, las prácticas de seguridad de DevOps deben adaptarse al nuevo panorama y ajustarse a las pautas de seguridad específicas de los contenedores.

Las tecnologías nativas de la nube no son adecuadas para las listas de verificación y las políticas de seguridad estáticas. Por el contrario, la seguridad debe ser constante y estar integrada en cada etapa del ciclo de vida de la aplicación y la infraestructura.

DevSecOps significa integrar la seguridad al desarrollo de las aplicaciones durante todo el proceso. No solo requiere incorporar las nuevas herramientas, sino también adoptar un enfoque organizativo distinto. Los equipos de DevOps deben tener esto en cuenta al automatizar la seguridad para proteger el entorno y los datos por completo, así como el proceso de integración y distribución continuas. Este objetivo seguramente incluya la seguridad de los microservicios en contenedores.

Mire esta serie de webinars para conocer la opinión de los especialistas sobre la seguridad de toda la pila de aplicaciones en contenedores y su ciclo de vida.

Seguridad del entorno y de los datos

  • Estandarice y automatice el entorno: los servicios deben tener la menor cantidad de privilegios posible para reducir las conexiones y los accesos no autorizados.
    Centralice las funciones de control de acceso y de identidad de los usuarios: el control de acceso estricto y los mecanismos de autenticación centralizados son fundamentales para proteger los microservicios, ya que la autenticación se inicia en varios puntos.
  • Aísle de la red y entre sí aquellos contenedores que ejecutan microservicios: abarca tanto los datos en tránsito como en reposo, ya que ambos pueden ser objetivos valiosos para los atacantes.
  • Cifre los datos entre las aplicaciones y los servicios: una plataforma de organización de contenedores con funciones de seguridad integradas disminuye las posibilidades de accesos no autorizados.
  • Incorpore puertas de enlace de API seguras: las API seguras aumentan el control de los enrutamientos y las autorizaciones. Al disminuir la cantidad de API expuestas, las empresas pueden reducir las superficies de ataque.

Seguridad del proceso de CI/CD

  • Integre análisis de seguridad para los contenedores: estos deberían ser parte del proceso para agregar contenedores al registro.
  • Automatice las pruebas de seguridad en el proceso de integración continua: esto incluye ejecutar herramientas de análisis de seguridad estática como parte de las compilaciones, así como examinar las imágenes de contenedores prediseñadas para detectar puntos vulnerables de seguridad conocidos a medida que se incorporan al canal de diseño.
  • Incorpore pruebas automatizadas para las funciones de seguridad al proceso de pruebas de aceptación: automatice las pruebas de validación de los datos de entrada, así como las funciones de verificación, autenticación y autorización.
  • Automatice las actualizaciones de seguridad, como la aplicación de parches para los puntos vulnerables conocidos: lleve a cabo este proceso mediante el canal de DevOps. Esto elimina la necesidad de que los administradores inicien sesión en los sistemas de producción mientras crean un registro de cambios documentado y rastreable.
  • Automatice las funciones de gestión de la configuración de los sistemas y los servicios: de esta manera, podrá cumplir con las políticas de seguridad y eliminar los errores manuales. También se recomienda automatizar los procesos de auditoría y corrección. 

Esta información fue tomada de la página de RedHat

     Queremos ser su aliado tecnológico

Permítanos conocer sus requerimientos y desarrollar una estrategia de automatización innovadora para su empresa.

Capacidades críticas para la gestión de API de ciclo de vida completo

Las soluciones de gestión de API de ciclo de vida completo permiten a los usuarios crear, ejecutar y gobernar una estrategia de API eficaz, pero seleccionar el producto adecuado es difícil. Los líderes en ingeniería de software deben utilizar esta investigación para evaluar las capacidades de 17 soluciones de proveedores en cinco casos de uso.

Visión general

  • A medida que los desarrolladores han adoptado enfoques centrados en API para el desarrollo de aplicaciones y servicios, las herramientas de gestión de API han ganado protagonismo. Las organizaciones suelen utilizar varios productos para la gestión de API internas y externas y les resulta difícil seleccionar la tecnología adecuada para sus necesidades.
  • Vendedores completos de gestión del ciclo de vida de la API están madurando sus capacidades para el control de acceso a la API y la flexibilidad de implementación, mientras que sus monetización de la API de informes, el valor del negocio, y microservicios y soporte de malla servicio son por lo general les s maduro.
  • La mayoría de las implementaciones de administración de API se dividen en cinco casos de uso: arquitectura multiexperiencia, integración mediante API, administración interna de API, producción de API y banca abierta.
  • Proveedores de gestión de API están adaptando sus plataformas para nuevos escenarios mediante la adición de soporte para nuevas tecnologías (tales como API API abierta , AsyncAPI y GraphQL ) y estándares de la industria (como Open Banca y Rápido Salud de interoperabilidad Recursos [FHIR]).
Recomendaciones

Como líder de ingeniería de software responsable de las estrategias y tecnologías de API, debe:

  1. Cree una lista de prioridades de los requisitos de tecnología de gestión de API de su organización al involucrar a las partes interesadas, como el equipo de la plataforma de API, los desarrolladores de API, los gerentes de productos y los equipos de seguridad.
  2. Defina el caso de uso de su organización seleccionando uno de los cinco casos de uso que mejor se adapte a sus requisitos o utilizando la herramienta interactiva de esta capacidad crítica para crear su propio caso de uso con ponderación personalizada para cada capacidad crítica.
  3. Identifique la solución de proveedor más adecuada para el caso de uso mediante la evaluación de productos según sus calificaciones y descripciones, incluidas las características del producto y los servicios auxiliares que el proveedor proporciona para ayudarlo a planificar y ejecutar una estrategia de API
Lo que necesitas saber

Evaluamos 17 ofertas de proveedores de administración de API de ciclo de vida completo en función de 14 capacidades que identificamos como críticas para respaldar las necesidades comerciales en evolución. Ponderamos estas capacidades críticas en términos de su importancia relativa para cinco casos de uso principales:

  1. Arquitectura multiexperiencia: las API se consumen con frecuencia en aplicaciones web, móviles, conversacionales, wearables, gemelos digitales, Internet de las cosas (IoT) y realidad aumentada (AR) , y requieren soporte de gestión de API para el consumo móvil.
  2. Integración mediante API: la integración entre aplicaciones, servicios y empresas ahora generalmente implica el uso de API. Estas API deben administrarse.
  3. Gestión de API interna: las API son bloques de construcción clave para la entrega de aplicaciones empresariales a escala. El descubrimiento, el acceso y el uso de estas API deben gestionarse y regirse.
  4. Productización de API: las API que se comparten externamente y se usan fuera del contexto de una sola aplicación deben tratarse como un producto y deben ser administradas por un gerente de producto de API.
  5. Banca abierta: las API que se utilizan en la banca abierta suelen ser entregadas por bancos y consumidas por socios u organizaciones de tecnología financiera a través de interacciones seguras y estrictamente controladas.

Nuestro equipo de analistas, todos los cuales atienden las consultas de los clientes y realizan una investigación en profundidad sobre las tecnologías API, calificaron cada oferta en las 14 capacidades según la respuesta de cada proveedor a nuestro cuestionario de evaluación. En nuestra evaluación, también incluimos los comentarios de los clientes sobre las capacidades del proveedor a partir de consultas y de Gartner Peer Insights.

Las capacidades críticas para la gestión de API de ciclo de vida completo son:

  • Control de acceso API
  • Consumo de API
  • Diseño e implementación de API
  • Mediación API
  • Monetización de API
  • Protección API
  • Prueba de API
  • Informes de valor empresarial
  • Flexibilidad de implementación
  • Personalización del portal para desarrolladores
  • Orientado a eventos y el streaming
  • Aceleradores de la industria
  • Microservicios y malla de servicios
  • Control de versiones y API

Los líderes en ingeniería de software responsables de las estrategias y tecnologías de API deben utilizar esta investigación para comprender los casos de uso clave y las capacidades de los productos de administración de API de ciclo de vida completo y para comparar las ofertas de los proveedores. Deben evaluar a cada proveedor en función de sus capacidades para satisfacer las necesidades estratégicas de productividad y desarrollo de aplicaciones. También deben evaluar la hoja de ruta del producto de cada proveedor para garantizar la alineación con los objetivos comerciales a largo plazo (consulte el cuadrante mágico complementario para la gestión de API de ciclo de vida completo).

Análisis

Gráficos de casos de uso de capacidades críticas
Figura 1:Puntuaciones de los productos de los proveedores para el caso 
Figura 2: Puntuaciones de productos de los proveedores para la integración mediante el caso de uso de API
Figura 3:Puntuaciones de los productos de los proveedores para el caso de uso de la gestión de API interna
Figura 4:Puntuaciones de los productos de los proveedores para el caso de uso de las API de producción                                                    Figura 5:Puntuaciones de productos de los proveedores para el caso de uso de Open Banking

 *Fuente Gartner (octubre de 2021)

Vendedores

La oferta de administración de API de ciclo de vida completo de Amazon Web Services (AWS) es Amazon API Gateway. Junto con AWS Lambda, Amazon API Gateway es un componente central de la oferta de plataforma de funciones sin servidor como servicio (fPaaS) de AWS. AWS también ofrece un portal para desarrolladores sin servidor personalizable. Solo está disponible en la nube, aunque AWS Direct Connect permite a los clientes utilizar Amazon API Gateway frente a las API locales. Para los clientes de AWS, la capacidad de Amazon API Gateway para integrarse con muchos otros servicios de AWS es atractiva. Los desarrolladores pueden usarlo como una puerta de entrada a aplicaciones creadas en contenedores (como AWS Lambda, Amazon Kinesis y Amazon EventBridge), lo que es especialmente beneficioso cuando se usa AWS para hospedaje. Su precio de pago por uso es rentable para un uso ligero y su alto rendimiento puede soportar un uso intensivo sin degradación. A pesar de sus ventajas y valor para los clientes de AWS, Amazon API Gateway carece de muchas de las características que constituyen la gama completa de capacidades de administración de API, como las de diseño, prueba y gobernanza de API. Amazon API Gateway recibió su puntaje de caso de uso más alto para la arquitectura multi experiencia. Sin embargo, su gama limitada de capacidades también dejó a Amazon API Gateway con puntuaciones bajas en otros casos de uso.

Axway

La oferta de gestión de API de ciclo de vida completo de Axway es Amplify API Management Platform . Se proporciona una puerta de enlace de la API, un catálogo y un mercado unificado, un Portal de API , un bajo código API del constructor , Amplify Integración del constructor , Amplify corrientes de capacidades orientadas a eventos, Axway Agentes Istio, Amplify Analítica y agentes para el descubrimiento, la suscripción y la trazabilidad. Amplify Central es la capa de gestión basada en SaaS para plataformas Axway y no Axway . AxwayLa oferta está disponible como un servicio de nube administrado y se puede implementar en nubes privadas, públicas e híbridas o en las instalaciones.
Axway ‘s Amplify Catálogo proporciona a los usuarios un catálogo flexible, que combina las integraciones y activos de la API. Su herramienta API Builder , junto con Integration Builder, puede permitir a los desarrolladores integrar y orquestar aplicaciones SaaS y fuentes de datos empresariales. El portal de desarrolladores de Axway se basa en el sistema de gestión de contenido Joomla y se puede personalizar mediante kits de desarrollo de software (SDK).
Axway obtuvo una buena puntuación en varias capacidades críticas, particularmente en transmisión y transmisión impulsada por eventos, mediación de API, flexibilidad de implementación y control de versiones y gobernanza de API. Axway fortaleció sus capacidades para el caso de uso de banca abierta actualizando su módulo de gestión de consentimiento, mejorando el soporte para Okta y Ping Identity y agregando las 10 protecciones detalladas de seguridad de API de Open Web Application Security Project ( OWASP ).
Amplify API Management Platform recibió su puntaje de casos de uso más alto para la integración mediante API. También recibió buenos puntajes para la arquitectura multiexperiencia, la gestión de API interna y los casos de uso de banca abierta, y recibió su puntaje más bajo para el caso de uso de API de producción.

Boomi

Boomi ciclo de vida que ofrece la gestión completa API ‘s es parte de su plataforma AtomSphere de , una suite iPaaS empresa. Además de la gestión de API, AtomSphere incluye capacidades para la integración de aplicaciones, datos y B2B / EDI, desarrollo de aplicaciones de bajo código y gestión de datos maestros (MDM). Admite implementaciones de nube híbrida y multinube y tiene un dispositivo de puerta de enlace para escenarios de IoT. No admite implementaciones distribuidas en varias regiones o en varios centros de datos.
Al momento de escribir este artículo, Boomi ha anunciado un acuerdo para que sea adquirida por dos firmas de capital privado, Francisco Partners y TPG Capital . Se espera que la adquisición se complete a fines de 2021, sujeto a las condiciones de cierre habituales.
AtomSphere es ideal para la integración basada en API, incluida la coherencia de datos y la integración de eventos y ecosistemas. AtomSphere obtuvo una puntuación alta en el consumo de API. Aprovecha una amplia variedad de conectores, admite la mediación con el motor Boomi Atom y una puerta de enlace API. También permite el descubrimiento y consumo de API de terceros y API internas registradas en su catálogo. AtomSphere proporciona funciones de gestión del consumo para la definición de políticas, acuerdos de nivel de servicio (SLA) y control de versiones de claves.
La plataforma Atomsphere de Boomi recibió puntuaciones de capacidad bajas para la protección de API, monetización de API, informes de valor comercial, control de versiones y gobernanza de API, y microservicios y malla de servicios.
Recibió su puntaje de caso de uso más alto para la integración mediante API. Recibió puntuaciones bajas en todos los demás casos de uso.

Broadcom

La oferta de administración de API de ciclo de vida completo de Broadcom es la plataforma de administración de API Layer7 . Cuenta con una puerta de enlace API y CA Live API Creator, una herramienta para crear API frente a las fuentes de datos. La plataforma ofrece CA Mobile API Gateway y SDK para escenarios móviles, OAuth Toolkit y CA Rapid App Security . Broadcom oferta ‘s se basa en otros Broadcom productos, incluyendo BlazeMeter para las pruebas API, rendimiento de las aplicaciones AIOps monitoreo (APM) para el seguimiento de activos y de seguimiento de transacciones, y la inteligencia AIOps operativa para el análisis de amenazas y la detección de anomalías.
Broadcom tiene sólidas funciones de seguridad de API, que incluyen capacidades para mitigar el Top 10 de seguridad de API de OWASP y análisis de tráfico mediante IA y respuestas automatizadas. También proporciona capacidades detalladas de autenticación y autorización, lo que proporciona una integración más estrecha con Symantec VIP y con Symantec Identity Security .
La oferta de Broadcom obtuvo una puntuación alta en las pruebas de API, impulsada por BlazeMeter y su enfoque continuo de pruebas de API que incluye pruebas de seguridad y calidad de API. Se recibieron las puntuaciones más bajas para algunas funciones cada vez más importantes, tales como la personalización de su portal de desarrolladores (llamada API Hub), la monetización de la API, microservicios y servicio de malla, y reporte el valor del negocio, lo que puede limitar su eficacia en el i API nterna y p API roductizing casos de uso.
Layer7 API Management recibió su puntaje de caso de uso más alto para la arquitectura multiexperiencia. Recibió puntuaciones razonables en todos los demás casos de uso.

Google (Apigee)

La oferta de administración de API de ciclo de vida completo de Google es Apigee . Está disponible en implementaciones de nube pública, nube privada o centro de datos. Apigee híbrido es una opción de implementación disponibles en Apigee ‘s Enterprise y Enterprise Plus niveles, lo que permite un tiempo de ejecución gestionado por el cliente y Apigee gestionada por el plano de control de Google Cloud Platform ( GCP ). En febrero de 2021, Google lanzó Apigee X, una implementación de SaaS basada en GCP que combina Apigee con otros productos de GCP , incluido reCAPTCHA Enterprise ,Google Cloud Armor (un firewall de aplicaciones web) y Google Cloud CDN .
Google Apigee obtuvo una puntuación alta en una amplia gama de capacidades. Tiene sólidas capacidades de personalización del portal para desarrolladores, con dos opciones de portal para desarrolladores: un portal integrado sencillo basado en la configuración y un portal basado en Drupal para admitir requisitos de personalización más sofisticados. Google Apigee es sólido en el control de acceso a la API, incluida la compatibilidad con los perfiles de API de grado financiero (FAPI) de OpenID Connect que se utilizan en la banca. También es fuerte en la monetización de API, proporcionando a los clientes una amplia variedad de planes de suscripción y precios para API administradas por Google Apigee . Los clientes de servicios financieros y otras industrias a menudo lo utilizan para crear nuevos productos basados en API.
Google Apigee recibió la puntuación más alta de todas las ofertas evaluadas para el caso de uso de API de producción. También recibió buenas puntuaciones en los casos de uso de arquitectura de banca abierta y multiexperiencia. Sus puntuaciones de casos de uso más bajas fueron para la integración mediante API y la gestión de API interna.

IBM

La oferta de gestión de API de ciclo de vida completo de I BM es IBM API Conne ct . Consta de cuatro componentes: API Gateway, API Manager, API Analytics y Developer Porta l. Está disponible como un servicio SaaS y también como una implementación gestionada por el cliente o por IBM en un entorno híbrido. IBM API Connect también está disponible como un componente de IBM Cloud Pak for Integration .
IBM API Connect tiene sólidas capacidades de control de acceso y protección de API, así como complementos para la prueba y el monitoreo de API. Su Kit de herramientas para desarrolladores proporciona capacidades sólidas de diseño, implementación y mediación de API. API Connect tiene un buen soporte para el control de versiones y la gobernanza de API, con características como reversiones de versiones, llevar políticas de una versión a otra, realizar pruebas A / B y administrar suscripciones relacionadas con las versiones de API.
Para las pruebas de API, la solución admite la simulación de backends, la generación de casos de prueba basados en la semántica de API y un conjunto completo de API REST de administrador para permitir la integración con canalizaciones de integración continua / entrega continua (CI / CD). IBM también ha agregado funciones de inteligencia artificial que monitorean la información de seguimiento de API para identificar posibles brechas en la cobertura de prueba de API y luego generar automáticamente los casos de prueba faltantes. El Portal para desarrolladores basado en Drupal es rico en funciones, fácilmente personalizable y también admite la socialización de SOAP , API GraphQL y eventos, además de API REST. A través de API Manager, la solución proporciona capacidades para definir diversos planes de monetización.
Aunque IBM API Connect ofrece un alto nivel de flexibilidad de implementación al permitir implementaciones híbridas, multinube y locales, su plano de control administrado en la nube solo está disponible en IBM Cloud. Además, las implementaciones en entornos basados en contenedores o como parte de IBM Cloud Pak for Integration pueden requerir tiempo y recursos considerables para la implementación u operación.
En el último año, IBM ha agregado soporte para interfaces basadas en eventos al proporcionar conectividad de back-end nativa a los agentes de eventos de Apache Kafka y AMQP . También ha agregado soporte para el descubrimiento y socialización de AsyncAPI e introdujo una capacidad incorporada para que los usuarios aseguren y administren puntos finales GraphQL .
IBM API Connect recibió la puntuación más alta de todas las ofertas evaluadas para los casos de uso de arquitectura de banca abierta y multiexperiencia. Recibió buenas puntuaciones en todos los demás casos de uso.

Kong

Kong ciclo de vida que ofrece la gestión completa API ‘s es Kong Konnect , una plataforma de conectividad de servicio. La plataforma incluye Kong Gateway , una versión empresarial de la puerta de enlace API de núcleo abierto basada en NGINX y OpenResty . También incluye: ServiceHub (un repositorio para que los desarrolladores internos descubran y reutilicen los servicios); el Developer Porta l (para que usuarios externos consuman servicios); Kong Vitals (para monitorear la plataforma ); Kong Immunity (para detección de anomalías basada en AI / ML) y Kong Runtime Manager (para activar y administrar Kong Gateway) . Otro componente de Kong Connect es Insomnia, la herramienta de diseño, prueba y documentación de API, que ofrece un amplio conjunto de funciones para editar OpenAPI , especificaciones REST, gRPC y esquemas GraphQL . También ofrece descubrimiento y exploración de API e integración Git lista para usar.
Kong admite implementaciones de malla de servicio a través de Kong Mesh , que se construye sobre Kuma , un plano de control de código abierto para malla de servicio construido en Envoy . Kong ofrece a los usuarios flexibilidad de implementación a través de su gran cantidad de distribuciones oficiales, incluido el soporte para una amplia gama de sistemas operativos, así como la implementación en contenedores. Su versión de prueba basada en SaaS simplifica la investigación de productos para los clientes. Tiene un sólido diseño e implementación de API y capacidades de prueba de API, pero proporciona aceleradores industriales limitados para respaldar la banca abierta.
La plataforma de Kong recibió su puntaje de casos de uso más alto para la administración interna de API. Recibió puntuaciones razonables en todos los demás casos de uso.

Microsoft

La oferta de administración de API de ciclo de vida completo de Microsoft es Azure API Management . Los clientes pueden usar Azure API Management para administrar las API que se entregan en Microsoft Azure , además de conectarse a las API alojadas en las instalaciones mediante su red virtual de Azure . Microsoft también proporciona una puerta de enlace API autohospedada y una opción de portal para desarrolladores. Un plano de control para puertas de enlace distribuidas que se ejecutan en instancias de Kubernetes con Azure Arc está en versión preliminar.
Azure API Management puede servir como punto de entrada a Azure Kubernetes Service (AKS) , Azure Functions y otros servicios que no son de Azure . Para las capacidades de consumo de API, los clientes pueden usarlo junto con Azure Logic Apps y otras ofertas de Azure Integration Services . El portal de administrador del producto proporciona análisis de registros con un enfoque técnico, como el rendimiento y la resolución de problemas. Sin embargo, Azure API Management tiene soporte limitado para informes de valor comercial, métricas de ecosistema, suscripciones de productos de API y funcionalidad de diseño de API.
Azure API Management recibió su puntaje de caso de uso más alto para la banca abierta. Recibió puntajes promedio para la gestión interna de API, integración mediante API y casos de uso de arquitectura multiexperiencia. Su puntaje de caso de uso más bajo fue para la producción de API.

MuleSoft

La oferta de gestión de API de ciclo de vida completo de MuleSoft es Anypoint Platform . Combina la integración de aplicaciones con la gestión de API en una única plataforma unificada. Anypoint Platform se puede ejecutar en las instalaciones y en entornos de nube pública, privada e híbrida. Incluye Anypoint Exchange , un centro central para compartir API y otros activos de MuleSoft , y puede usarse con Anypoint API Community Manager (basado en Salesforce Experience Cloud ). MuleSoft Los productos están diseñados para ayudar a los usuarios a crear y hacer crecer un ecosistema de consumidores de API, impulsar la adopción de productos API y gestionar las relaciones con los desarrolladores. MuleSoft también ofrece Anypoint Security , una puerta de enlace API adicional centrada en la seguridad, como producto adicional.
La estrategia de API de MuleSoft y el API Community Manager , combinados con sus sólidas capacidades de diseño e implementación de API, proporcionan un poderoso conjunto de herramientas para diseñar y construir API, y para construir y mantener un ecosistema de API. Su introducción de Anypoint DataGraph agregó capacidades básicas de GraphQL . Anypoint Platform tiene sólidas capacidades de consumo de API, incluido un amplio conjunto de conectores SaaS, adaptadores y otras integraciones de API. Para las verticales de la industria, MuleSoft proporciona Catalyst Accelerators , un conjunto de API listas para producción y plantillas de conectividad para casos de uso de aplicaciones y datos. Ofrece estos aceleradores para organizaciones minoristas, financieras, sanitarias, de servicios y comerciales.
Anypoint Platform de MuleSoft recibió la puntuación más alta de todas las ofertas evaluadas para la integración mediante el caso de uso de API. También recibió buenos puntajes en los casos de uso de arquitectura de multiexperiencia, gestión de API interna y banca abierta; y recibió una puntuación justa para el caso de uso de API de producción.

Cartero

Cartero ciclo de vida que ofrece la gestión completa API ‘s es cartero Plataforma API . Es una oferta de SaaS que proporciona capacidades para el diseño de API, simulacros, pruebas, documentación, descubrimiento y automatización. Postman no proporciona una puerta de enlace API, por lo que carece de capacidades de tiempo de ejecución. Sin embargo, proporciona integraciones de puerta de enlace, como Amazon API Gateway .

Postman Collections , un entorno para que los diseñadores de API agreguen solicitudes de API en agrupaciones lógicas, y los espacios de trabajo brindan sólidas capacidades para el diseño y la implementación de API, las pruebas de API y la personalización del portal de desarrolladores. La API de red cartero ayuda a los usuarios crear portales para desarrolladores API públicas y privadas. Los portales públicos son visibles para cualquier persona del ecosistema Postman . Los espacios de trabajo de Postman permiten una experiencia de colaboración para que varios desarrolladores trabajen en una API.
Cartero A ‘s de gestión de PI platfor m recibió la puntuación más alta de todas las ofertas evaluadas para la gestión interna de la API utilización caso . Recibió puntajes razonables por la arquitectura multiexperiencia, la integración mediante API y los casos de uso de banca abierta; y recibió una puntuación baja para el caso de uso de las API de producción.

RED HAT

La oferta de gestión de API de ciclo de vida completo de Red Hat es Red Hat 3scale API Management . La solución es parte de las soluciones de integración de Red Hat y es distinta de la de su empresa matriz, la oferta API Connect de IBM . Sin embargo, 3scale API Management tiene varias características que compiten con las de IBM API Connect . Red Hat 3scale API Management generalmente se implementa en una arquitectura híbrida, con puertas de enlace de API locales y administración en la nube. También se puede implementar en Red Hat ‘s Plataforma de contenedores OpenShift .
3scale API Management ofrece conectividad a diferentes pasarelas de pago, pero los clientes han informado problemas de larga data que obstaculizan la monetización de la API. Obtuvo un buen puntaje por su flexibilidad de implementación, pero no tan bien para los aceleradores de la industria, las pruebas de API y los informes de valor comercial.
Red Hat 3scale API Management recibió su puntaje de caso de uso más alto para la integración mediante API . Recibió puntajes promedio en todos los casos de uso, con los más bajos para la administración de API interna y la arquitectura multiexperiencia.
Red Hat no respondió a las solicitudes de información suplementaria . Por lo tanto, el análisis de Gartner se basa en otras fuentes públicas creíbles y aceptadas.

SAVIA

SAP ofrece SAP API Management como una capacidad de SAP Integration Suite, que forma parte de SAP Business Technology Platform (BTP). SAP se asocia con Google para aprovechar la puerta de enlace Apigee Edge API de este último como el componente de tiempo de ejecución dentro de sus ofertas de administración de API en la nube. SAP ha creado su propio producto de gestión de API de ciclo de vida completo en torno a la puerta de enlace de API de Apigee Edge , que incluye análisis y un portal para desarrolladores.
SAP ofrece múltiples opciones para publicar API, como a través de API Business Hub Enterprise , a través de un CMS, a través de un portal para desarrolladores basado en plantillas y mediante el uso de SAP Cloud Portal Service. SAP proporciona múltiples opciones de autenticación , incluidas OAuth 2.0 , SAML 2.0, claves API y tokens web JSON ( JWT ), y autenticación basada en certificados. SAP BTP complementa la solución de gestión de API de SAP al permitir a los usuarios diseñar y crear API GraphQL desde cero, descubrir API REST / OData existentes a partir de backends y bases de datos, y convertir las API como puntos finales GraphQL que están listos para ser consumidos. losLa solución , junto con el tiempo de ejecución Kyma de SAP , admite mecanismos de eventos basados en HTTP como webhooks, WebSockets , AsyncAPI y eventos enviados por el servidor (SSE) para sistemas habilitados para eventos push de forma nativa.
Las sólidas capacidades de SAP Integration Suite para el control de acceso a API y la protección de API impulsaron su clasificación en todos los casos de uso. La solución también proporciona sólidas capacidades de integración, particularmente con aplicaciones SAP , y sólidas funciones de acelerador de la industria .
SAP Integration Suite recibió su puntaje de casos de uso más alto para la banca abierta. También recibió una buena puntuación por la integración con el caso de uso de API y puntuaciones razonables en todos los demás casos de uso.

SmartBear

La oferta de administración de API de ciclo de vida completo de SmartBear comprende tres marcas: SmartBear SwaggerHub , SmartBear ReadyAPI (para pruebas funcionales, pruebas de seguridad, rendimiento y virtualización) y SmartBear AlertSite (para monitoreo de API) . Su conjunto de productos incluye herramientas de código abierto conocidas, como Swagger Editor (para diseño de API), SoapUI (para pruebas de API), Service Virtualization (para virtualizar API como parte de las pruebas), así como complementos para entornos de desarrollo integrados populares. , Visual Studio Code e IntelliJ IDEA.
SmartBear se centra en el ciclo de vida del desarrollo de API y no ofrece una puerta de enlace API, sino que proporciona una amplia gama de integraciones con puertas de enlace API, incluidas Amazon API Gateway y Google Apigee .
SmartBear tiene sólidas capacidades para el diseño y la implementación de API, incluida la conformidad con la guía de estilo de API, reglas listas para usar y la capacidad de agregar reglas personalizadas. También cuenta con una sólida virtualización de servicios y pruebas de API en el contexto de las capacidades de prueba. SmartBear SwaggerHub proporciona una función llamada Auto-Mocking, que crea y mantiene una simulación de una API basada en las respuestas y ejemplos definidos en su definición de OpenAPI 3.0 o 2.0.
Sin embargo, dado que SmartBear no tiene capacidades de tiempo de ejecución, como el control de acceso a la API y la mediación de la API, esto limita su efectividad para algunos casos de uso, como la banca abierta.
La plataforma de SmartBear recibió su puntaje de caso de uso más alto para la administración interna de API. Recibió puntajes razonables para la arquitectura multiexperiencia, la integración mediante API y los casos de uso de API productivas; y recibió una puntuación deficiente para el caso de uso de banca abierta .

Software AG

La oferta de gestión de API de ciclo de vida completo de Software AG es la plataforma de gestión de API webMethods . Está disponible para implementación local o como una oferta en la nube, llamada API webMethods.io . Consta de API Gateway, API Portal , Microgateway , CentraSite (registro y repositorio) y webMethods CloudStreams (gestión de conexiones y consumo). API Gateway y API Portal están disponibles como SaaS. La plataforma admite implementaciones locales, en la nube o híbridas.
Junto con su plataforma iPaaS, Software AG tiene sólidas capacidades de integración (como conectores para aplicaciones empresariales) y de mediación API. A través de una plataforma llamada Engage , Software AG permite a los usuarios ejecutar programas beta y hackatones. CentraSite, una herramienta de gobernanza disponible como complemento, proporciona validación de diseño de API, gobernanza de canalizaciones de CI / CD y análisis de dependencia de API para ayudar a la gestión del ciclo de vida de la API . Software AG también presentó AppMesh para permitir la introspección de microservicios basados en Istio y Kubernetes para API.
Aunque la plataforma de gestión de API de webMethods es compatible con OWASP Top 10 para las protecciones de seguridad de API, carece de capacidades avanzadas para la seguridad de API, como el descubrimiento automatizado de API, la detección de anomalías o el descubrimiento predictivo de amenazas. Para el control de acceso API, Software AG admite la integración con servidores de autorización de terceros como Okta y Ping Identity . También admite estándares como OAuth 2.0 , OpenID Connect , Kerberos , estándares relacionados con servicios web y SAML. La estrecha integración de Software AG con su plataforma de integración mejora su usabilidad, pero restringe su flexibilidad de implementación.
La plataforma de gestión de API webMethods de Software AG recibió su puntaje de caso de uso más alto para la producción de API. Recibió puntuaciones razonables en todos los demás casos de uso.

Software TIBCO

La oferta de gestión de API de ciclo de vida completo de TIBCO Software es TIBCO Cloud Mashery. Incluye capacidades para modelado de API, simulacros de API, portal de desarrolladores, centro de control, análisis, un microgateway y aplicaciones de proxy de API (Node.js y Flogo ) .TIBCO Cloud Mashery admite implementaciones híbridas, en la nube y locales. La solución a menudo se implementa con TIBCO Cloud Integration, que proporciona un mercado unificado, monitoreo integrado, un repositorio centralizado (TIBCO Cloud Mesh) y automatización de procesos para desarrolladores ciudadanos.
TIBCO Cloud Mashery tiene capacidades sólidas para la flexibilidad de implementación y para transmisión y transmisión impulsada por eventos . Proporciona una amplia gama de opciones de implementación para entornos de orquestación de contenedores de destino de múltiples proveedores de nube, incluidos AWS , Microsoft Azure y GCP . Como uno de los principales proveedores de tecnología impulsada por eventos, TIBCO ha ampliado Cloud Mashery para admitir aplicaciones de arquitectura nativas impulsadas por eventos. También es compatible con Apache Kafka , Apache Pulsar, GraphQL , gRPC y MQTT a través de la gestión de API federada y su microgateway API, lo que lo hace particularmente efectivo para escenarios impulsados por eventos.
TIBCO Cloud Mashery tiene capacidades relativamente limitadas para la monetización de API, informes de valor comercial de API, pruebas de API, consumo de API, acelerador de la industria y gobernanza de API.
TIBCO Cloud Mashery recibió puntajes razonables en todos los casos de uso, siendo los puntajes más altos para la arquitectura de múltiples experiencias y la integración mediante API.

Tyk

La oferta de gestión de API de ciclo de vida completo de Tyk es Tyk Enterprise . Tiene una puerta de enlace API, análisis de API, un portal para desarrolladores y un panel de gestión de API. Tyk también ofrece Tyk Identity Broker (TIB) , Tyk MServ (servidor de activos seguro) y controlador Kubernetes, todos ellos basados ​​en componentes de código abierto. Tyk se puede implementar en la nube, autogestionado o en una configuración híbrida. El proveedor también ha lanzado una versión SaaS de la plataforma, Tyk Cloud .
Tyk tiene sólidas capacidades para gobernar el desarrollo y las operaciones de API dentro de las organizaciones. Su integración fluida con canalizaciones CI / CD, su soporte para g RPC , GraphQL y WebSockets , y su flexibilidad para implementaciones distribuidas hacen de Tyk una solución sólida para administrar API internas. Con su Universal Data Graph , Tyk permite a las organizaciones generar API GraphQL a partir de servicios existentes para facilitar el intercambio de datos entre diferentes aplicaciones. Tyk admite autenticación y autorización a través de OAuth 2.0 o OpenID Connect, además de gestionar la autenticación mediante claves API.
Las capacidades de Tyk para diseñar y probar API son relativamente básicas. Permite a los usuarios importar definiciones de API o aplicar políticas, pero no tiene soporte para definir políticas de diseño en toda la organización o generar automáticamente casos de prueba de API. Tiene complementos para Apache Kafka y AMQP , pero actualmente no es compatible con AsyncAPI o OpenAPI Specification (OAS) 3.0. Sus capacidades de monetización de API se limitan a definir planes básicos y realizar llamadas de API a proveedores de pago como Stripe.
Tyk continúa invirtiendo en la mejora de sus capacidades de gráficos de datos universales para admitir integraciones de datos basadas en GraphQL en todo el ciclo de vida desde las fases de diseño, desarrollo, operaciones y retiro.
Tyk recibió puntajes razonables en todos los casos de uso, siendo su puntaje más alto para el caso de uso de integración con API.

WSO2

WSO2 ciclo de vida que ofrece la gestión completa API ‘s es WSO2 Manager API . Es una solución de gestión de API de código abierto. En 2021, WSO2 lanzó Choreo , una solución de gestión de API basada en la nube que no es de código abierto. La funcionalidad API Manager Analytics de WSO2 se ofrece como un servicio construido en Microsoft Azure .
WSO2 combina la gestión de API con sólidas capacidades de integración. Su WSO2 API Manager y Choreo permiten que las integraciones se expongan como API administradas en arquitecturas de nube, locales, nativas de contenedores e híbridas. WSO2 API Manager proporciona un sólido control de acceso a la API al aprovechar su producto WSO2 Identity Server y al admitir Okta , PingFederate , Okta (Auth0 ), Red hat ( Keycloak) y ForgeRock . También tiene sólidas capacidades de mediación de API, lo que permite el backend para patrones de frontend para escenarios móviles y multiexperiencia. Además de sus aceleradores de banca abierta,WSO2 ahora proporciona aceleradores de la industria de la salud, incluidas soluciones para el cumplimiento de la regla final de acceso del paciente CMS 9115-F de EE. UU. (Para pagadores de atención médica de EE. UU.) Y para el cumplimiento de la regla de bloqueo de información de ONC (para proveedores de atención médica de EE . UU . ) .
WSO2 API Manager recibió su puntaje de caso de uso más alto para la banca abierta. También recibió buenas puntuaciones en arquitectura e integración multiexperiencia mediante API. Recibió sus puntuaciones de casos de uso más bajas para la gestión de API internas y la producción de API.

Contexto

El mercado de proveedores de gestión de API de ciclo de vida completo es diverso y en continua evolución. El panorama actual de proveedores incluye una combinación de arquitectura orientada a servicios (SOA), es decir, proveedores de tecnología de gobernanza y puerta de enlace, proveedores de soluciones de integración, plataformas de código abierto, conglomerados de software empresarial y plataformas en la nube. Combinado con un número creciente de proveedores de puerta de enlace API de nueva generación y de bajo impacto , proveedores que se basan en tiempos de ejecución, adquisiciones y asociaciones existentes que ofrecen enfoques de soluciones de múltiples proveedores , los líderes en ingeniería de software se enfrentan a una enorme variedad de opciones. A muchos les resulta difícil seleccionar las mejores soluciones para las necesidades de su organización.

Los desarrolladores están adoptando enfoques centrados en API para el desarrollo de aplicaciones y servicios para satisfacer las demandas de agilidad empresarial y aprovechar arquitecturas más granulares y componibles. La adopción de API continúa expandiéndose a medida que las organizaciones adoptan funciones de microservicios y multinube, administración de API interna, junto con la necesidad de modernizar, capitalizar y monetizar activos y datos heredados. Las preocupaciones sobre la privacidad y la seguridad de los datos , impulsadas por muchas violaciones de seguridad de API de alto perfil en los últimos 12 meses , las regulaciones y las arquitecturas resilientes impulsadas por eventos también siguen siendo fuertes. En respuesta a estos diversos requisitos, los proveedores ofrecen una amplia gama de funciones en este mercado.

En particular, los proveedores de plataformas en la nube también están agregando capacidades de administración de API, al igual que los proveedores de integración y los proveedores en otros mercados (ya sea directamente o mediante adquisiciones). Como resultado, los clientes corren el riesgo de acumular múltiples ofertas de administración de API, lo que puede crear superposiciones y brechas en la cobertura.

Según las consultas de los clientes de Gartner, muchas organizaciones ahora usan herramientas de administración de API proporcionadas por sus proveedores de nube, junto con herramientas de administración de API locales proporcionadas por un proveedor diferente. Algunos proveedores se centran en aspectos específicos de la gestión del ciclo de vida de la API (como el diseño de API o las pruebas de API) y coexisten con otros que ofrecen capacidades complementarias, como una puerta de enlace API.

Las empresas buscan socios proveedores eficaces y preparados para el futuro, pero económicamente viables, que les ayuden a tener éxito en el desarrollo, la implementación y el gobierno de su estrategia de API. Los líderes en ingeniería de software deben utilizar el proceso de evaluación metódico basado en capacidades y basado en casos de uso descrito en esta investigación para seleccionar la oferta de gestión de API de ciclo de vida completo adecuada para sus necesidades.

Definición de clase de producto / servicio

El mercado de gestión de API de ciclo de vida completo consta de ofertas de software que admiten cuatro etapas del ciclo de vida de una API: planificación y diseño; implementación y prueba; implementar y ejecutar; y control de versiones y retiro.

Las ofertas de gestión de API de ciclo de vida completo cubren al menos dos de estas cinco áreas funcionales:

  1. Portales de desarrolladores. Un catálogo de autoservicio de API para segmentar, comercializar y gobernar ecosistemas de desarrolladores que producen y consumen API.
  2. Puertas de enlace API. Gestión del tiempo de ejecución, seguridad y recopilación de datos de uso.
  3. Gestión y análisis de políticas. Configuración de seguridad, mediación de API y monitorización de API.
  4. Diseño y desarrollo de API. Una experiencia de desarrollador significativa y herramientas para diseñar y crear API.
  5. Pruebas de API. Pruebas simuladas básicas y pruebas funcionales, de rendimiento y de seguridad avanzadas de API.

Aunque las ofertas en este mercado pueden proporcionar capacidades avanzadas o especializadas en una o más de las áreas anteriores, consideramos que estas funcionalidades representan la gestión de API del ciclo de vida completo.

Definición de capacidades críticas
Control de acceso API

La capacidad de utilizar estándares, como OAuth 2.0 y OpenID Connect, para controlar el acceso a las API mediante autenticación y autorización.

El control de acceso a la API también implica la integración con la infraestructura de identidad, como la administración de acceso web y los proveedores de identidad. Las políticas de control de acceso a la API no deben ser demasiado complejas para que los administradores las configuren y administren. Los proveedores de API pueden utilizar los productos de gestión de API de ciclo de vida completo para diseñar y ejecutar una estrategia de seguridad de API holística que incluya control de acceso de API (consulte Mejorar la seguridad de la integración de aplicaciones centrándose en la identidad, los datos y las API ).

Protección API

La capacidad de admitir las 10 mejores protecciones de seguridad de API de OWASP, detección de uso sospechoso de API y defensa contra ataques a API en general.

La protección de la API incluye el análisis de las llamadas a la API en busca de evidencia de ataques. Los proveedores de gestión de API de ciclo de vida completo proporcionan puertas de enlace de API para proteger las API de ataques. Los firewalls de aplicaciones web y los controladores de entrega de aplicaciones también se pueden usar como parte de un modelo de seguridad en capas (consulte Seguridad de API: lo que debe hacer para proteger sus API ).

Flexibilidad de implementación

La capacidad de mostrar API en la nube, en las instalaciones o en ambos. Esto incluye soporte para patrones de implementación híbridos, como puertas de enlace de API locales con administración e informes basados en la nube.

Muchas organizaciones exponen los puntos finales de API en la nube para acceder a servicios alojados en las instalaciones o servicios que requieren la capacidad de proporcionar puertas de enlace locales con informes y administración alojados en la nube. Las implementaciones en contenedores y la elasticidad de la nube son especialmente importantes para las API en verticales de la industria que experimentan picos de demanda estacionales o esporádicos, y para las organizaciones que buscan soporte multinube. Las organizaciones buscan cada vez más la flexibilidad para implementar API en una amplia variedad de tiempos de ejecución (ocasionalmente de diferentes proveedores). El uso de microservicios, la malla de servicios y los patrones de servicio de este a oeste introducen requisitos adicionales (consulte Asegúrese de que su solución de administración de API admita tendencias de API modernas, como microservicios y multinube ).

Diseño e implementación de API

La capacidad de crear nuevas API o nuevas versiones de API utilizando herramientas de generación o un estudio de diseño. Esto incluye soporte para diseñar API desde cero y para generar API desde infraestructura (como bases de datos), así como soporte para OData (Open Data Protocol) y GraphQL.

Esta capacidad cubre el diseño de especificaciones API requeridas y efectivas para satisfacer las necesidades comerciales, y la creación de esas especificaciones de manera iterativa y colaborativa. Las organizaciones pueden utilizar rutinariamente herramientas de diseño de API compatibles con OAS o RAML u otras herramientas basadas en asistentes para crear API REST a partir de activos existentes, como bases de datos o servicios web SOAP. Las características deseables incluyen la capacidad de utilizar, administrar y aplicar pautas de diseño, guías de estilo, convenciones de nomenclatura y modelos de dominio. Las API GraphQL, gRPC y OData también son deseables (consulte Cómo diseñar grandes API ).

Personalización del portal de desarrollo

La capacidad de personalizar un portal de desarrolladores de API para la apariencia, la base de los desarrolladores y los flujos de trabajo, y para agregar widgets como foros. Los portales para desarrolladores también pueden servir como base para la creación de mercados de API, lo que requiere una mayor personalización y extensibilidad.

Las organizaciones normalmente desean personalizar los portales de desarrolladores de API para sus necesidades específicas. La personalización del portal se centra inicialmente en la apariencia y luego se extiende a la adaptación del flujo de trabajo (por ejemplo, la adaptación del proceso de registro y aprobación del desarrollador). Se pueden agregar características para apoyar e involucrar a los desarrolladores para desarrollar una comunidad y fomentar la innovación. Los portales de desarrolladores de API normalmente se construyen sobre un sistema de gestión de contenido como Drupal o Joomla !. Estos proporcionan un conjunto de widgets, como wikis y foros, que se pueden agregar al portal. En un modelo híbrido, los portales para desarrolladores de API pueden proporcionarse en la nube, mientras que el mismo proveedor puede proporcionar puertas de enlace de API en las instalaciones (consulte Crear portales de API que impulsen la adopción de API entre comunidades de desarrolladores internos y externos ).

Monetización de API

La capacidad de monetizar las API, no solo una selección de opciones de facturación, sino también la capacidad de administrar una variedad de planes de uso y modelos de precios para diferentes consumidores de la misma API.

La monetización de API es importante en escenarios en los que las API brindan acceso a datos valiosos (API de datos como servicio) o para acceder a algoritmos. La monetización se basa en características como el seguimiento detallado y el control de acceso, y agrega la capacidad de crear planes de uso. Para respaldar estos casos de uso, los proveedores de administración de API de ciclo de vida completo deben proporcionar una amplia variedad de modelos de precios de API, como suscripción y pago por uso, y permitir a los usuarios cambiar el modelo de precios de una API y realizar la facturación (consulte Elija el Modelo de precios y monetización de API adecuadas ).

Informes de valor comercial

La capacidad de medir y reportar el valor comercial de las API. Esto incluye soporte para definir métricas, recopilar datos e informar sobre métricas comerciales, métricas de calidad de API y métricas técnicas y operativas.

Estas características permiten a los gerentes de productos de API y otras partes interesadas definir, desarrollar y medir indicadores clave de rendimiento (KPI) significativos para las API que demuestran resultados comerciales reales (consulte Cómo utilizar los KPI para medir el valor comercial de las API ). Esto incluye la capacidad de clasificar y priorizar las API en función de su contribución de valor comercial, definir métricas, recopilar datos y crear informes procesables contra los KPI definidos. La generación de informes de valor comercial consiste en ir más allá de las métricas técnicas para el uso de API, como las tasas de tráfico y los tiempos de respuesta, para demostrar el valor comercial real creado para el proveedor de API frente a los objetivos comerciales establecidos.

Pruebas de API

La capacidad de admitir una amplia gama de escenarios de prueba de API, incluidos (entre otros) escenarios de prueba A / B automatizados, funcionales y canalizaciones de CI / CD.

Esto significa probar la confiabilidad, la disponibilidad, el rendimiento y los requisitos funcionales y no funcionales. También implica soporte para la automatización de CI / CD y pruebas de calidad continuas de las API, así como pruebas de seguridad y soporte para herramientas de prueba de API más amplias. La capacidad de prueba de API también evalúa el soporte del proveedor para versiones, puesta en escena e implementaciones con control de calidad a través de su propia oferta o mediante asociaciones (consulte Cómo entregar API sostenibles ).

Consumo de API

La capacidad de consumir API públicas y API privadas. Las capacidades de consumo de API, a veces llamadas capacidades de puerta de enlace inversa o saliente, se utilizan para administrar cómo se consumen estas API, incluidos los SLA, la supervisión y la administración de claves de API.
La gestión de API también puede ayudar a los usuarios a gestionar el consumo de API de terceros. Algunos proveedores ofrecen adaptadores para API clave de terceros para ayudar a la integración, en particular para las API SaaS ampliamente utilizadas como Salesforce y Workday.

Aceleradores de la industria

La capacidad de admitir asignaciones, configuraciones o definiciones de API predefinidas para industrias o escenarios comerciales particulares.

Esto incluye soporte para directivas de pago o banca abierta, estándares de interoperabilidad de atención médica como los recursos de interoperabilidad de atención médica rápida (FHIR) y estándares específicos como las reglas de interoperabilidad de la Oficina del Coordinador Nacional (ONC) para la atención médica en los EE. UU.

Los proveedores de administración de API de ciclo de vida completo pueden ofrecer API predefinidas basadas en estándares de la industria o mandatos gubernamentales que apuntan a verticales específicas. Estas soluciones prediseñadas brindan a los clientes un valioso punto de partida desde el cual definir sus propias API (consulte Más allá del cumplimiento: uso de los estándares de API bancarias para una ventaja competitiva ).

Microservicios y Service Mesh

La capacidad de administrar microservicios y API y de integrarse con la malla de servicios.
Cada vez más, los servicios detrás de las API se implementan utilizando una arquitectura de microservicios. Desde el punto de vista arquitectónico, las API están ubicadas frente a los microservicios, y una única API puede mapearse a varios microservicios. Los proveedores de administración de API de ciclo de vida completo que admiten microservicios pueden ayudar a administrar asignaciones y dependencias entre API y microservicios.
Los microservicios admitidos por los proveedores de gestión de API de ciclo de vida completo también pueden implicar la integración con una malla de servicios (a través de un controlador de entrada) o la integración con el plano de control de la malla de servicios.

Streaming y basado en eventos

La capacidad de admitir API impulsadas por eventos y API de transmisión a través de protocolos y especificaciones como Webhooks, WebSocket, AsyncAPI y eventos enviados por el servidor (SSE).
Este soporte incluye la capacidad de aplicar políticas a API de transmisión e impulsadas por eventos (consulte El impacto de la TI impulsada por eventos en la gestión de API ). Muchos productos de gestión de API se centran en API de solicitud-respuesta síncronas. Admitir API de transmisión y controladas por eventos significa no solo permitir que su uso se administre en tiempo de ejecución a través de puertas de enlace de API, sino también permitir que estos tipos de API se registren y consuman a través de un portal de desarrolladores de API.

Mediación API

La capacidad de proporcionar una capa de mediación entre un consumidor de API y la implementación de un servicio de API. Una capa de mediación puede proteger y administrar las API mediante la aplicación de políticas de seguridad y tráfico.
La mediación de API a menudo implica la traducción de protocolos, por ejemplo, de SOAP a REST, o una modificación de la carga útil del mensaje para mantener la coherencia. Esto admite la creación de múltiples experiencias para los consumidores de API y el uso de capacidades comerciales empaquetadas que permiten una empresa componible (consulte API mediadas: una arquitectura de aplicación esencial para negocios digitales ).
Control de versiones y API
La capacidad de crear una versión de una API para proteger a los usuarios contra cambios importantes y, al mismo tiempo, respaldar la gobernanza del ciclo de vida del producto de una API.
Los proveedores de API pueden utilizar los productos de gestión de API de ciclo de vida completo para admitir una notificación de lanzamiento, control de versiones y estrategia de desactivación de API (consulte el Modelo de madurez de la estrategia de API de Gartner ).

Casos de uso

Arquitectura multiexperiencia

Adapte las API para el consumo mediante aplicaciones web, móviles, conversacionales, wearables, gemelos digitales, IoT y realidad aumentada para permitir una estrategia multiexperiencia.
Para admitir la arquitectura de múltiples experiencias, los proveedores de administración de API de ciclo de vida completo deben proporcionar:

  • Control de acceso a API, incluida la compatibilidad con estándares (como OAuth 2.0) y marcos para el acceso de usuarios a API a través de aplicaciones de múltiples experiencias.
  • Control de versiones y API para admitir nuevos lanzamientos, actualizaciones y retiro de productos API.
  • Protección de API para garantizar que las API no sean vulnerables a ataques (como ataques de denegación de servicio) y estén protegidas de bots maliciosos.
  • Soporte para diseño e implementación de API.
  • Compatibilidad con pruebas de API para enfoques de DevOps, incluidos CI / CD, pruebas funcionales automatizadas y pruebas de seguridad automatizadas.
  • Soporte para protocolos de transmisión y controlados por eventos.
  • Mediación de API, como la conversión de SOAP a REST para adaptar los servicios web más antiguos a los servicios de descanso compatibles con dispositivos móviles.

Integración mediante API

Integre datos, aplicaciones, servicios y negocios mediante la gestión de API internas, conectores SaaS, API de datos como servicio y API B2B privadas. Dentro de la organización, las API internas se utilizan para acceder a los datos y la funcionalidad de la aplicación. Esto incluye el acceso a sistemas heredados a través de interfaces API directas o métodos indirectos como colas de mensajes. Fuera de la organización, se requieren conectores a SaaS y otros servicios en la nube. Las API de datos como servicio proporcionan un nuevo canal para que las organizaciones moneticen datos valiosos, como datos financieros, datos de viajes y logística o información meteorológica. En algunos casos, los proveedores de API pueden monetizar sus API directamente, de modo que las API se conviertan en un nuevo canal comercial.
También se deben gestionar las API B2B privadas entre socios comerciales . Estas API incluyen los eslabones de la cadena de suministro en la fabricación, la gestión de pedidos o el inventario en el comercio minorista y los procesos multiempresariales en la salud o las ciencias de la vida. Las API B2B se pueden utilizar junto con enfoques tradicionales como la transferencia de archivos administrada (MFT) y el intercambio electrónico de datos (EDI).
Las API B2B tienen poca visibilidad, ya que normalmente se utilizan dentro de una red cerrada de socios (por ejemplo, las aseguradoras que se comunican con los bancos para proporcionar cotizaciones de seguros como parte de un préstamo) o dentro de una cadena de suministro (por ejemplo, proveedores de comercio electrónico que verifican el suministro. disponibilidad de inventario). Gran parte del valor de la economía de las API se establece actualmente a través de las API B2B.

Para admitir la integración mediante API, los proveedores de gestión de API de ciclo de vida completo deben proporcionar:

  • Capacidad de “puerta de enlace inversa” para consumir API fuera de la organización.
  • Adaptadores de API prediseñados para servicios SaaS comunes como Salesforce y Workday , así como otros servicios en la nube como Amazon S3.
  • Soporte multiprotocolo más allá de HTTP, incluyendo cola de mensajes, soporte de archivos y bases de datos, y Protocolo de transferencia de archivos SSH (SFTP).
  • Soporte de mapeo y transformación.
  • Un modelo híbrido que permite utilizar la solución detrás del firewall y en la nube.
  • Planes de control de acceso, seguridad, monetización y consumo.
  • Un portal para desarrolladores de API eficaz para que los usuarios puedan consumir estas API de forma autoservicio.

Gestión de API interna

Administre y controle el descubrimiento, el acceso y el uso de las API internas para entregar aplicaciones empresariales a escala.

Dentro de una organización, las API proporcionan un límite de servicio lógico entre las funciones comerciales. Al administrar los puntos de conexión entre las capacidades, las organizaciones pueden definir mejor las responsabilidades y mejorar la agilidad.

Para respaldar la administración de API interna, los proveedores de administración de API de ciclo de vida completo deben proporcionar:

  1. Un portal para desarrolladores de API personalizable que se adapta a las necesidades de la organización y puede ser parte de un centro de desarrolladores más amplio.
  2. Soporte para diseño e implementación de API.
  3. Soporte para gobernar y versionar API internas.
  4. Control de acceso a la API, incluida la compatibilidad con estándares como OAuth 2.0 para el acceso de los usuarios a las API. Debe ser posible integrar el acceso a las API internas con los sistemas de identidad corporativa.
  5. Soporte para enfoques de DevOps, incluidos CI / CD, pruebas funcionales automatizadas y pruebas de seguridad automatizadas.

Productización de API

Crear, compartir y monetizar nuevos productos API para que los utilicen terceros o clientes; y medir e informar el valor comercial de las API.

Las API externas que se utilizan fuera del contexto de una única aplicación deben gestionarse como un producto. Las API deben ser fáciles de incorporar y consumir por parte de los desarrolladores, al tiempo que proporcionan métricas e informes para que las utilicen los gerentes de productos de API. Estas API pueden ser utilizadas por terceros o clientes para crear y ampliar sus aplicaciones.
Para respaldar la producción de API, los proveedores de administración de API de ciclo de vida completo deben proporcionar:

  • Funciones para dar soporte al administrador de productos API.
  • Planes de monetización y consumo de API.
  • Informes de valor empresarial.
  • Un portal para desarrolladores para facilitar la incorporación y el soporte continuo de clientes nuevos y existentes.
  • Control de versiones y API para admitir nuevos lanzamientos, actualizaciones y retiro de productos API.
  • Protección de API para garantizar que las API no sean vulnerables a ataques (como ataques de denegación de servicio) y estén protegidas de bots maliciosos.

Banca Abierta

Entregue API para el consumo de socios bancarios u organizaciones de tecnología financiera a través de interacciones seguras y estrictamente controladas.

Las API de banca abierta se utilizan para crear aplicaciones para usuarios finales con fines como la agregación de cuentas o la gestión financiera personal. El acceso a estas API debe administrarse, incluido el uso de estándares API abiertos cuando estos están definidos o son obligatorios.

Los bancos están comenzando a abrir las API a terceros en respuesta a la legislación de la Directiva de servicios de pago 2 (PSD2) en la Unión Europea y otras iniciativas nacionales de banca abierta. Los bancos generalmente comienzan abriendo API con información de sucursales y ubicaciones de cajeros automáticos, y ahora se están expandiendo para ofrecer API para abrir cuentas, acceder a información de cuentas y realizar pagos.

Para respaldar la banca abierta, los proveedores de administración de API de ciclo de vida completo deben proporcionar:

  1. Control de acceso, que es vital debido a la sensibilidad de los datos de los clientes bancarios. OAuth 2.0 se usa generalmente para administrar el acceso a la información de la cuenta.
  2. Protección de API para garantizar que las API no sean vulnerables a ataques (como ataques de denegación de servicio) y estén protegidas de bots maliciosos.
  3. Asesoramiento para programas de API, incluido el soporte para hackatones, que los bancos suelen utilizar para impulsar el uso de API e involucrar a las organizaciones de tecnología financiera.
  4. Un portal de desarrolladores de API personalizable para facilitar la incorporación de socios de tecnología financiera
  5. Aceleradores de la industria, en particular definiciones API predefinidas que ayudan a los bancos a satisfacer los requisitos de PSD2 u otros marcos legales o regulatorios.

Proveedores agregados y eliminados

  1. Adicional
    Cartero
    SmartBear
  2. Abandonó
    F5 (NGINX )
    Perforce (Akana)
    Sensedia
    Torry Harris

Criterios de inclusión
Todos los proveedores evaluados en estas Capacidades críticas tenían que satisfacer los siguientes criterios:

  • Comercialice , venda y respalde activamente al menos dos de las siguientes cinco áreas funcionales para respaldar la gestión del ciclo de vida completo de las API:
  • Portales para desarrolladores
  • Puertas de enlace API
  • Gestión y análisis de políticas
  • Diseño y desarrollo de API
  • Prueba de API
  • Haber hecho que la oferta calificada esté disponible para el público general a partir de junio de 2020.
  • Tener una oferta integral de uso general que no sea específica de una industria o limitada a un mercado adyacente (como iPaaS o seguridad de aplicaciones). Esta oferta tenía que estar disponible directamente del proveedor o mediante acuerdos anunciados públicamente con socios.
  • Haber generado ingresos de al menos $ 30 millones (o el equivalente en otra moneda) a partir de la gestión de API del ciclo de vida completo en 2020.
  • Los proveedores que ofrecen una oferta de productos de código abierto o de núcleo abierto tenían que haber generado ingresos de al menos $ 8 millones (o el equivalente en otra moneda) por año a partir de la gestión de API del ciclo de vida completo. Estas cifras incluyen ingresos por software, servicios gestionados en la nube, soporte y servicios profesionales relacionados con la oferta de gestión de API de ciclo de vida completo.
  • Haber tenido al menos 150 clientes de pago para la gestión de API del ciclo de vida completo en 2020.
  • Tener una presencia geográfica razonablemente amplia para ventas, soporte y disponibilidad de servicios, con no más del 90% de sus ingresos de administración de ciclo de vida completo para 2020 provenientes de una región específica.

Metodología de capacidades críticas

Esta metodología requiere que los analistas identifiquen las capacidades críticas para una clase de productos o servicios. Luego, cada capacidad se pondera en términos de su importancia relativa para casos de uso de productos o servicios específicos. A continuación, los productos / servicios se clasifican en términos de qué tan bien logran cada una de las capacidades críticas. Luego, se calcula una puntuación que resume qué tan bien cumplen con las capacidades críticas para cada caso de uso para cada producto / servicio.

Las “capacidades críticas” son atributos que diferencian los productos / servicios de una clase en términos de calidad y rendimiento. Gartner recomienda que los usuarios consideren el conjunto de capacidades críticas como algunos de los criterios más importantes para las decisiones de adquisición.

Al definir la categoría de producto / servicio para la evaluación, el analista primero identifica los usos principales de los productos / servicios en este mercado. ¿Qué necesidades buscan satisfacer los usuarios finales al considerar productos / servicios en este mercado? Los casos de uso deben coincidir con los escenarios de implementación de clientes comunes. Estos distintos escenarios de clientes definen los casos de uso.

Luego, el analista identifica las capacidades críticas. Estas capacidades son grupos generalizados de características comúnmente requeridas por esta clase de productos / servicios. A cada capacidad se le asigna un nivel de importancia para satisfacer esa necesidad particular; algunos conjuntos de características son más importantes que otros, según el caso de uso que se esté evaluando.
El producto o servicio de cada proveedor se evalúa en términos de qué tan bien ofrece cada capacidad, en una escala de cinco puntos. Estas calificaciones se muestran una al lado de la otra para todos los proveedores, lo que permite comparar fácilmente los diferentes conjuntos de características.

Las calificaciones y las puntuaciones resumidas oscilan entre 1.0 y 5.0:
1 = Deficiente o ausente: la mayoría o todos los requisitos definidos para una capacidad no se cumplen
2 = Regular: no se cumplen algunos requisitos
3 = Bueno: cumple con los requisitos
4 = Excelente: cumple o supera algunos requisitos
5 = Excepcional: supera significativamente los requisitos

Para determinar una puntuación general para cada producto en los casos de uso, las calificaciones del producto se multiplican por las ponderaciones para obtener la puntuación del producto en los casos de uso.

Las capacidades críticas que ha seleccionado Gartner no representan todas las capacidades de ningún producto; por lo tanto, puede que no representen los más importantes para una situación de uso u objetivo comercial específicos. Los clientes deben utilizar un análisis de capacidades críticas como una de las varias fuentes de información sobre un producto antes de tomar una decisión de producto / servicio.

Creado por Fintan Ryan , Kimihiko Iijima , Mark O’Neill , John Santoro , Akash Jain , Shameen Pillai.