Come posso scoprire quali sono le capacità offerte da un contenitore?

Diciamo di eseguire un contenitore che aggiunge una funzionalità, ad esempio --cap-add=SYS_ADMIN

C'è un modo per scoprire che questo contenitore è stato assegnato la funzionalità SYS_ADMIN ?

docker-inspect non sembra restituire tali informazioni.

Hai già risposto alla tua domanda, ma per aggiungere un'altra opzione: potresti trovare le funzionalità attualmente efficaci, indipendentemente da quelle configurate manualmente. https://github.com/riyazdf/dockercon-workshop/tree/master/capabilities menziona alcune utilità, che dovreste installare all'interno del contenitore. Esempio:

 docker run --rm -it alpine sh -c 'apk add -U libcap; capsh --print' 

Ok, è vero che la pubblicazione di una domanda su SO è spesso sufficiente per trovare la risposta per te stesso.

 docker-inspect <container_id> [...] "CapAdd": [ "SYS_ADMIN" ], "CapDrop": null, [...]