Brasil já é o quarto maior consumidor dessas linguagens, com 1.444.375 chamadas. Isso coloca o país atrás somente dos EUA, Índia e China, mas ainda assim, fatores como Shadow APIs, falhas na documentação e APIs “órfãs” seguem criando problemas
A F5 anunciou as descobertas do estudo Six Signs You’ve Got an API Sprawl Problem (Seis sinais de que há um problema com as APIs da organização). Análise construída pelo time de consultores da F5, o documento investiga as principais frentes de batalha enfrentadas por organizações que dependem de chamadas de APIs (Application Programming Interfaces) para realizar negócios.
VAI GOSTAR:
Dica de Leitura: Se você está interessado em entender melhor como garantir a segurança em ambientes que dependem de APIs, é importante considerar também a segurança em outras tecnologias fundamentais, como o Docker. Leia nosso artigo sobre Segurança em Docker: Lições de Incidentes Reais para aprender com exemplos práticos.
CISOs estão tornando a segurança das APIs uma prioridade
Segundo o relatório 2022 State of API, do instituto Postman API Plataform, o Brasil é o quarto maior país usuário de APIs como linguagem de troca de dados entre aplicações empresariais. Em 2022 aconteceram 1.444.375 chamadas de APIs, colocando o país atrás somente dos EUA, Índia e China. Estima-se que, até 2030, o mundo contará com 100 bilhões de APIs e com 45 milhões de desenvolvedores. Em média, cada organização consome 15.000 APIs.
“As APIs são críticas para o crescimento da economia digital brasileira em 2023”, ressalta Beethovem Dias, Solutions Engineer da F5 Brasil. “Ainda assim, muito há o que ser feito para que as organizações controlem e protejam esse universo”. O PIX e o Open Banking são exemplos de ecossistemas que usam APIs para “chamar” dados de aplicações de terceiros e, deste modo, acelerar operações financeiras.
Os grandes desafios para se ganhar controle sobre as APIs:
Shadow APIs
As empresas que não contam com um inventário das APIs homologadas para uso dos desenvolvedores abrem espaço para o consumo sem controle de “Shadow APIs”. “Anos atrás ouvíamos falar de Shadow IT, em que usuários finais consomem recursos digitais sem passar pelo controle da TI. A Shadow API leva esse conceito ao mundo dos desenvolvedores de aplicações”, explica Dias.
A adoção das Shadow APIs – linguagens prontas disponíveis no mercado, mas sem credenciais de controle e de segurança –, facilita o trabalho do desenvolvedor, profissionais muito pressionados para cumprir as metas de entrega da aplicação. Uma forma de superar esse desafio é contar com soluções automatizadas que atualizam o inventário de APIs e bloqueiam o uso de Shadow APIs. “Essa abordagem tem de acompanhar toda a esteira de desenvolvimento”, recomenda Dias.
APIs “órfãs”
Se os gestores não souberem quem é o responsável pela API, não é possível identificar quem procurar no caso de problemas com esta linguagem. “É uma terra de ninguém – é comum que as APIs sejam consumidas sem a preocupação em checar sua origem, sua idoneidade, etc.”, avisa Dias. Soluções que automatizam o controle sobre as APIs constroem um inventário em que a “propriedade” sobre a API é estabelecida claramente. “Ainda há casos em que o desenvolvedor tenta contornar esse controle e realizar de forma manual a construção ou a chamada de uma API. Isso colabora com o caos nas organizações”.
Controles de segurança impostos ao final da esteira atrasam projetos
Boa parte das APIs é alvo de tentativas de ataques – somente em 2020, 91% das empresas norte-americanas sofreram violações de APIs. Ainda assim, muitas organizações realizam os testes de segurança da API somente ao final do processo de desenvolvimento. Volta-se a etapa zero porque os responsáveis pela API não seguiram as melhores práticas de proteção destas linguagens ao longo da esteira de desenvolvimento. Além da mudança de cultura, é recomendável utilizar Advanced WAFs para defender as APIs dos ataques listados no OWASP API Top 10.
Não saber onde roda a API
A boa administração deste universo exige que se possua um mapa (infográfico) com a localização da API. “Há casos em que o desenvolvedor, para cumprir prazos, realiza a chamada de uma API da nuvem AWS para a nuvem Azure – com isso, uma API desenvolvida originalmente para rodar em um ambiente passa a rodar, de forma precária, em outra nuvem”. A grande disseminação do modelo multinuvem no Brasil torna esse quadro ainda mais dramático.
O gestor pode perder a visibilidade sobre esses ambientes. Outro problema surgido desta falha é que se torna mais difícil configurar políticas de segurança e testar o grau de proteção das APIs. Uma API rodando em lugares diferentes irá exigir proteções diferentes. “Soluções que constroem uma camada de administração única para todas as nuvens permitem que se cheque esses pontos de forma centralizada, o que otimiza o tempo e a produtividade dos gestores”.
A documentação da API está desatualizada
É comum que profissionais de ICT Security fujam dos processos de documentação. Infelizmente, uma documentação sobre APIs desatualizada é um dos maiores sintomas de um ambiente sem controle. O ritmo de desenvolvimento e consumo de APIs é tal que o processo de documentação fica esquecido, dando margem a várias falhas futuras. Uma forma de contornar esse quadro é contar com soluções alinhadas ao padrão OpenAPI Specification, que gera automaticamente as novas versões de documentação de APIs.
Múltiplas APIs servem para a mesma tarefa
Uma das formas mais conhecidas de se cobrar pelo consumo de uma API é por meio de métricas que acusam quantas chamadas aconteceram. Seja para não pagar este custo, seja porque prefere desenvolver de forma manual sua própria API para resolver uma demanda, muitos desenvolvedores constroem novas APIs que se sobrepõem a APIs já existentes. Essa realidade pode multiplicar o caos.
“O que é preocupante é que, cada vez mais, é por meio de APIs que se chega ao “pote de ouro” – as aplicações que fazem a economia brasileira girar”, analisa Dias. A correta administração das APIs é uma jornada sem fim, que exige mudanças na cultura das empresas e a adoção de novos controles automatizados, soluções capazes de dar conta destes desafios em escala.
Brasil é o quarto país em uso de APIs
Segundo o relatório 2022 State of API, do instituto Postman API Plataform, o Brasil é o quarto maior país usuário de APIs como linguagem de troca de dados entre aplicações empresariais. Em 2022 aconteceram 1.444.375 chamadas de APIs, colocando o país atrás somente dos EUA, Índia e China. Estima-se que, até 2030, o mundo contará com 100 bilhões de APIs e com 45 milhões de desenvolvedores. Em média, cada organização consome 15.000 APIs.
“As APIs são críticas para o crescimento da economia digital brasileira em 2023”, ressalta Beethovem Dias, Solutions Engineer da F5 Brasil, que fez um esuto sobre os principais desafios das Application Programming Interfaces. “Ainda assim, muito há o que ser feito para que as organizações controlem e protejam esse universo”. O PIX e o Open Banking são exemplos de ecossistemas que usam APIs para “chamar” dados de aplicações de terceiros e, deste modo, acelerar operações financeiras.
A conclusão é de que a correta administração das APIs é uma jornada sem fim, que exige mudanças na cultura das empresas e a adoção de novos controles automatizados, soluções capazes de dar conta destes desafios em escala.
| País | APIs criadas |
| EUA: | 5.426.426 |
| Índia: | 4.669.393 |
| China: | 2.650.422 |
| Brasil: | 1.444.375 |
| Reino Unido: | 977.788 |
| Rússia: | 800.647 |
| França: | 748.791 |
| Alemanha: | 714.916 |
| Indonésia: | 613.921 |
| Canadá: | 591.357 |
LEIA TAMBÉM:
Continue aprendendo:
Agora que você já sabe sobre o crescimento do uso de APIs no Brasil, que tal avançar seus conhecimentos em como garantir a segurança e escalabilidade em ambientes que dependem de tecnologias como Kubernetes? Confira nosso artigo sobre Kubernetes explicado para entender melhor como essa tecnologia pode ajudar na gestão de APIs e aplicações.
FAQ: Governança e Segurança de APIs
1. O que são Shadow APIs e por que são perigosas?
+
Shadow APIs são interfaces de programação de aplicações (APIs) que estão implementadas num ambiente de produção, mas não passam pelos processos oficiais de governação, monitoramento ou segurança da equipa de TI. O seu perigo reside no facto de não terem proteções ativas (como Rate Limiting ou WAF), tornando-se uma porta de entrada fácil para o vazamento de dados corporativos.
2. Qual é a diferença entre Shadow APIs e APIs Órfãs?
+
Enquanto as Shadow APIs são criadas “às escondidas” do controlo de segurança, as APIs Órfãs (Orphaned APIs) são endpoints que foram oficialmente documentados no passado, mas que, com a atualização das versões do sistema (ex: migração da v1 para a v2), foram esquecidos e abandonados num servidor sem atualizações de segurança.
3. Como posso evitar o “API Sprawl” (Expansão Descontrolada)?
+
A única forma sustentável de resolver a expansão descontrolada é adotar um bom API Gateway acoplado a uma cultura rigorosa de documentação automática (como o padrão OpenAPI/Swagger). Se uma API não estiver documentada e passar pelo funil do Gateway, o seu deploy para produção não deve ser autorizado.
4. Qual o papel da autenticação moderna na segurança de APIs?
+
Em 2026, usar apenas Basic Auth ou API Keys fixas é obsoleto. Padrões robustos de segurança exigem a implementação de OAuth 2.0, OpenID Connect e tokens JWT de curta duração com processos de revogação (refresh tokens) para garantir que um token intercetado seja inútil para os atacantes.
