Bu Help Net Security röportajında Treblle CEO’su Vedran Cindric, 2023’te %96’lık bir artışa değinerek yapay zeka ile ilgili API’lerin katlanarak büyümesini tartışıyor. API’lerin yapay zeka etkileşimlerini güçlendirmede oynadığı bütünleyici role ışık tutarak görünmez konuları ortaya çıkarıyor. Kullanıcıları yapay zeka tabanlı sohbet robotlarına ve araçlara bağlayan.
Teknolojik ortam yapay zekayı giderek daha fazla entegre ettikçe Cindric, API güvenliğinin, kimlik doğrulamanın ve zombi uç noktalarının yarattığı zorlukların artan önemini vurgulayarak API’lerin evrimi üzerinde derin bir etki olacağını öngörüyor.
Son raporunuz, 2023’te yapay zeka ile ilgili API’lerde %96’lık bir büyüme olduğunu gösteriyor. Bu önemli artışın arkasında hangi faktörlerin yattığını düşünüyorsunuz?
Yapay zeka ile ilgili API’lerin büyümesini açıklamak kolaydır; neredeyse tüm yapay zeka etkileşimleri API tabanlıdır! Bu, AI tabanlı bir sohbet robotuna her mesaj yazdığınızda bir API isteğinde bulunacağınız anlamına gelir. Bunu göremeyebilir veya anlayamayabilirsiniz, ancak günün sonunda tüm bu sorular, görsel aramaları veya şakalar API istekleridir.
Yapay zeka tabanlı ve yapay zeka destekli araçların son zamanlardaki popülerliği göz önüne alındığında, bunları güçlendirmek için gereken API sayısında da aynı oranda bir artış olduğunu görüyoruz. API’ler son birkaç yıldır %25’lik bir Bileşik Büyüme Oranı ile büyüyor, ancak bu büyüme yapay zeka sayesinde 2023’te ikiye katlandı. Yapay zeka tabanlı API’lerin, el ele giderek 2024’te API büyümesini desteklemeye devam edeceğini öngörüyoruz.
Çoğu geliştiricinin API kullandığı göz önüne alındığında, API’lerin teknoloji ortamında gelişen rolünü nasıl görüyorsunuz ve bu siber güvenliği nasıl etkileyecek?
API’ler günümüzde herhangi bir modern organizasyonun temel yapı taşlarıdır ve bu durum gelecekte daha da belirgin hale gelecektir.
Kuruluşlar dijital işlerini dönüştürmeye ve API ekonomisi çağına girmeye çalışırken, giderek daha fazla API oluşturup kullanmamızı bekliyoruz. Günümüzde teknolojide meydana gelen bazı trendlere baktığımızda bu durum özellikle doğrudur. VR/AR gözlükleri, giyilebilir cihazlar ve sesle kontrol edilen cihazların tümü API’lerin çalışmasını gerektirir.
Dünya daha tarayıcısız cihazlara geçtikçe API’ler daha kritik bir rol oynayacak. Tüm bu büyüme ve genişleme, daha fazla API, istek ve güvenlik sorunu anlamına geliyor. API güvenliğiyle ilgili en zor şey, çoğu durumda kuruluşların, gerçek zamanlı olarak API verilerine erişimleri olmadığı için bilgisayar korsanlarının API’lerini istismar ettiğini bilmemeleridir. Bu nedenle bunu yapmanıza olanak tanıyan takımlama daha da kritik hale gelecektir.
Veriler, API’lerde zombi uç noktalarının yaygınlığının yüksek olduğunu gösteriyor. Bunun API verimliliği ve güvenliği açısından sonuçları nelerdir?
Kuruluşların, müşterilerinin API’lerini nasıl kullandıklarını gösteren verilere erişimleri olmadığı için pek çok zombi uç noktası var. Zombi uç noktaları özellikle tehlikelidir çünkü çoğu durumda bakımı yapılmaz ve veri sızıntılarına veya saldırılara karşı eğilimlidirler.
Bilgisayar korsanları, özellikle API belgeleri kamuya açıksa, hangi uç noktaların güncel olduğunu ve hangilerinin güncel olmadığını hızlı bir şekilde bulabildiğinden, bunun kuruluşlar açısından sonuçları ciddidir. Güvenlik sorunlarının yanı sıra, ölü veya zombi uç noktalar, bakımı yapılmayan ve eski kod nedeniyle kod tabanlı sorunlar ortaya çıkarmaktadır.
İsteklerin %51’inin herhangi bir kimlik doğrulama biçimi kullanmadığı göz önüne alındığında, API güvenliğini artırmaya yönelik önerileriniz nelerdir?
Kimlik doğrulama, API güvenliğinin en temel biçimidir ve her kuruluşun önceliği, herhangi bir kimlik doğrulama biçimini mümkün olan en kısa sürede uygulamak olmalıdır. Karmaşık veya zaman alıcı olması gerekmez, ancak kimlik doğrulama için herhangi bir şey kullanmak hiç yoktan iyidir. Şöyle düşünün: Eminim bir eviniz, daireniz veya ofis binanız vardır.
Ayrıca eminim ki bunların üzerinde kapılarınız vardır ve bu kapılarda rastgele insanların evinize, dairenize veya ofis binanıza girmesini engelleyen anahtarlar vardır. API’lerinize de aynı şekilde davranın; Kimin, ne zaman ve hangi koşullar altında içeri gireceğini kontrol etmek için kullanılabilecek bir anahtara sahip olun.
Raporda istemci tarafı hataların yaygın bir sorun olarak vurgulandığı göz önüne alındığında, API tüketicilerine hangi en iyi uygulamaları önerirsiniz?
Tüketicilere söyleyeceğim ilk şey, belgeleri iyice okumalarıdır. İstemci tarafındaki sorunların çoğu, geliştiricilerin yetkilendirmeyi unutması ve var olmayan kaynakları veya URL’leri çağırmasıyla ilişkilendirilebilir. Her iki durumda da bu sorunlar, belgelerin doğru şekilde okunması, test odaklı geliştirmenin uygulanması ve kaynakların çağrılmadan önce mevcut olup olmadığının kontrol edilmesiyle kolayca çözülebilir.
Modern API’lerin karmaşıklığına yanıt olarak gelişen API gözlemlenebilirliği ve yönetişim araçlarının rolünü nasıl öngörüyorsunuz?
API gözlemlenebilirliği ve yönetişimi, API’ler oluşturan tüm kuruluşlar için temel araçlar haline gelecektir. API’ler etrafında bir iş kuruyorsanız mühendislik ekiplerinizin bunları nasıl oluşturduğunu ve müşterilerinizin bunları nasıl kullandığını anlamanız gerekir. Tıpkı web sitelerinin Google Analytics gibi araçları kullanması gibi, özellikle API’ler giderek daha karmaşık hale geldikçe, API’leriniz için de aynı araçlara ihtiyacınız olacak.
Teknoloji geliştikçe API entegrasyonu ve yönetiminde gelecekteki zorluklar ve fırsatlar hakkında yorum yapabilir misiniz?
Pek çok kuruluşun hâlâ API stratejilerini ve API’ler etrafında başarılı bir iş kurmanın yollarını bulması gerekiyor. Bugün çoğu şirketin karşılaştığı en büyük zorluk budur.
Bundan sonra her şey, API yaşam döngüsünün bir aşamasından diğerine operasyonel olarak geçmenize yardımcı olacak kaliteli araçlara ihtiyaç duyduğunuz uygulama aşamasına gelir. API’ler hiçbir yere gitmiyor; gelecekte daha da kritik ve karmaşık hale gelecekler.