A) Devem-se utilizar apenas requisições GET para transmitir credenciais de autenticação. [ERRADO]
Comentário: O correto é "Utilizar apenas requisições POST para transmitir credenciais de autenticação"
B) Deve-se utilizar somente o mecanismo padrão de gerenciamento de conta para operações sensíveis do lado servidor, assim inibindo ataques com SQL Injection. [ERRADO]
Comentário: O correto é "Utilizar mecanismos complementares ao mecanismo padrão de gerenciamento de sessões para operações sensíveis do lado servidor – como no caso de operações de gerenciamento de contas – ...Esse método pode ser usado para prevenir ataques do tipo Cross Site Request Forgery (CSRF)
C) Deve-se utilizar o "garbage collector” na liberação de recursos alocados para objetos de conexão e não realizar essa tarefa explicitamente. [ERRADO]
Comentário: O correto é "Na liberação de recursos alocados para objetos de conexão, identificadores de arquivo etc., não contar com o “garbage collector” e realizar a tarefa explicitamente
D) Deve-se utilizar obrigatoriamente a autenticação para todas as páginas e recursos, exceto para aqueles que são intencionalmente públicos. [CORRETO]
Comentário: Essa afirmação está na seção "Autenticação e Gerenciamento de Credenciais" do OWASP.
E) Deve-se utilizar um padrão único de implementação Secure Sockets Layer (SSL), configurado de modo apropriado, e evitar o uso do seu antecessor, o Transport Layer Security (TLS). [ERRADO]
Comentário: O correto é "Utilizar um padrão único de implementação TLS configurado de modo apropriado", além disso o TLS não é antecessor do SSL, mas sim o SSL é antecessor do TLS.
Fonte: https://owasp.org/www-pdf-archive/OWASP_SCP_v1.3_pt-BR.pdf